Python Advent Calendar 2024 の17日目の記事です。
JTCでセキュリティ・プライバシー・データ基盤領域の研究開発をしている @laysakura です。
この記事で扱うのは、信頼できないユーザーから与えられたコードを実行するための「言語Sandbox環境」です。特に、Pythonの言語Sandbox環境であるRestrictedPythonを取り上げます。
言語Sandbox環境の理念は素晴らしく、応用先も色々と考えられるものですが、初手の設計を誤ると攻撃者とのいたちごっこになってしまうということをこの記事を通してお伝えできればと思います。
それではお楽しみください(ここからは常体で失礼します)。
Cyber-sec+ Advent Calendar 2024 2日目の記事です。
昨日の初日は Cyber-sec+ コミュニティーマネージャー Nissy さんによる 一切の感情を排したロジカルモンスターがコミュニティロゴを制作するとこうなる の記事でした。
本日の記事は「ソフトウェア研究における脅威モデリング」という題でお送りします。スライドを作成したのでご覧ください。
以下のツイートリンクからフィードバック頂ければありがたく拝読します!
明日3日目は Kensuke Takahashi さんによる「OWASPから学ぶLLM/生成AIのセキュリティモデルとソリューション」の記事です。
ありがとうございました!
picoCTF 2024に個人参加し、6954チーム中72位でした。
感想とwriteupを書きます。問題スクリーンショットは開催期間中のものなので、Solved数やLike数は参考程度に見てください。
picoCTFの問題は開催期間終了後もご自身で解けるはずなので是非挑戦してみてください。
⚡️ Flatt Security Developers' Quiz #6 開催! ⚡️
— 株式会社Flatt Security (@flatt_security) December 29, 2023
解答は年明け1/5(金)11:59まで!Tシャツ獲得を目指して頑張ってください!
デモ環境: https://t.co/hXaNP2Ciwv
ソースコード: https://t.co/ejTKzpAp9D
解答提出フォーム: https://t.co/jnc5Wv2Hi7 pic.twitter.com/uf3ZqHEdTK
Flatt Security Developers’ Quiz #6 に回答し、Tシャツ頂きました👕
Writeup書きます。
Webバックエンド開発やデータベース領域の研究開発を10年近く行ってきた筆者ですが、2023年夏頃からセキュリティ関連のキャリアパスを志向するようになりました。
Webセキュリティの実践的な経験とその証明がほしく、Burp Suite Certified Practitioner (以下、BSCP) を受験し、晴れて合格しました🎉
高いセキュリティが要求されるLAN内のサーバに自宅などのリモートからSSHログインしたい場合、VPNが有効です。
VPNを使うと、リモートからLAN内に仮想的に参加することができるので、プライベートIPアドレスのみが割り振られたサーバにもSSHログインできるようになります。
VPNには色々な認証方式がありますが、SSL-VPNプロトコルでクライアント証明書方式の認証を行えば、誰がいつVPNに参加したのかを高い信頼度でログに記録することができます。
本記事では、OpenVPNを使ったSSL-VPNの構築方法をAmazon EC2での構築も踏まえ詳しく紹介します。
