資訊安全 - ［▌▣］

資訊安全

2025-04-03 Web における Security, Safety, Trust の相対性 | blog.jxck.io

2024-12-15 セキュリティエンジニアって200職あんねん（分類とキャリアの話） #Security - Qiita

漏洞 - 維基百科，自由的百科全書

Pick a Vulnerability to Learn About

2023-10-28 【雑記】セキュリティガイドライン類約300時間読み漁ってみた - 2LoD.sec

資訊來源

2024-05-18 サイバーセキュリティ情報インプット集第1.0版 #Security - Qiita

2024-01-03 私のセキュリティ情報収集法を整理してみた（2024年版） - Fox on Security

2023-12-23 脆弱性情報収集の基礎知識 - Mirai Translate TECH BLOG

2025-02-14 ハッキングの世界に迫る～攻撃者の思考で考えるセキュリティ～ - Speaker Deck

1. 脆弱部分

被放置的漏洞

長期放置的軟體

有做漏洞掃描但無法顧及的地方

大意導致的設定失誤

人心

設定單純的密碼

內部醜聞

2. 公開部分

能從網路接觸到的地方

測試環境或staging環境？

開發單位非主管的部分？

除了伺服器之外的VPN機器？

ASM

Attack Surface Management

調查方式：OSINT

Shodan

3. 人際部分

不只是公司內部，還有關聯企業或服務等等

例如透過外包委託的伺服器攻擊入侵

具體的攻擊方式

Planning>Discovery>Attack>Additional Discovery

Planning>Reporting

Discovery的部分意外地重要

Discovery

確認目標開啟的port和漏洞

列出使用WordPress的使用者

Attack

篡改頁面

https://youtu.be/HBn2ca_PdCs

https://www.youtube.com/watch?v=aUnfjNgpvnQ

ゆるコンピュータ科学ラジオ

漏洞內容

濫用劇本的現實性

濫用的難易度

擁有濫用可能性的攻擊者的存在與否／動向

被濫用時的被害內容預測

PoC（Proof of Concept）的存在與否

掃描／嘗試攻擊的觀測狀況

在國內外的濫用／嘗試往例的存在與否

（如由發現者提供的）關於漏洞的詳細資訊公佈與否／預定

國內外的潛在對象數量／使用者數

除了提醒之外的資訊傳達手段存在與否

2023-04-20 新卒研修2023（セキュリティ）- 日本経済新聞社 - Google Slides

34p

安全的目的不是限制或制約，是為了支持變革

安全是為了能適當地處置風險，安心進行變化的手段

同樣的資訊來源，也會因為擁有的前提知識或經驗，而獲得不同的資訊量

2024-11-25 セキュリティー投資は売上高の「0.5％」を目指せ、ただし投資しすぎても無意味 | 日経クロステック（xTECH）

2025-03-07 【網路安全應視為投資而非成本】從資安經濟學思考，網路攻擊影響財務與營運風險 | iThome

關聯項目

2024-11-04 「”＞＜SCRIPT SRC=HTTPS：//MJT.XSS.HT＞ LTD」という名前の企業が強制的に社名を変更させられた事例 - GIGAZINE