サイバーセキュリティ – 松林のサイト

2023年11月29日2024年1月31日

ダークサイトにアクセスしました。その２。

世界最大のダークサイトであるTorネットワークについて、Onionブラウザでアクセスしました。
Onionドメインですが、英数字56文字と基本的に意味の無い文字列でして、リンクがないと辿れません。まずはOnionLinksから辿っています。感想はブログには書けないので直接私まで聞いていください。

2023年11月24日2024年1月31日

ダークサイトにアクセスをしました。

torブラウザ＋VPNでアクセスをしています。左がEdgeからTheNewYorkTimesをアクセスしたもので、右はtorブラウザからダークサイトのTheNewYorkTimesをアクセスしたものです。

環境構築などを今後投稿予定です。参考になるサイトは下記です。

SECURITY – ケニー・シュロフのブログ (kennyshroff.com)

2023年11月23日2024年1月27日

OWASP ZAPのインストールしました。その３。

下記がレポートです。

脆弱性はありました。下記の結果です。

対策するとなると、Amazon linux2/Apache/PHP/WordPress等の更新が必要になりそうです。

個人のブログ程度ですと、脆弱性対応で半永久的にパッチを当て続けるのはつらいと思いました。AWS（IaaS）で立ち上げるより、レンタルサーバー（SaaS）の方が簡単かもしれませんね。

“OWASP ZAPのインストールしました。その３。” の続きを読む

2023年11月23日2024年1月27日

OWASP ZAPのインストールしました。その２。

OWASP ZAPの使用には、ChromeかFirefoxのブラウザのインストールが必要です。今回はChromeを入れました。

動作の手順としては、
１、OWASP ZAPを起動します（少し時間がかかります）。
２、「クイックスタート」のメニューから「ManualExplore」を選択し、「URL to explore」で35.88.74.227を入力します。
３、「Chrome」を選択して、「ブラウザの起動」で立ち上げます。下記の写真です。
４、左のメニューから「http://35.88.74.227/」を選択し、「コンテキストに含める」で「既定コンテキスト」に設定します。
５、続けて、左のメニューから「http://35.88.74.227/」を選択し、「攻撃」で「動的スキャン」に脆弱性診断を開始します（今回は１時間20分程かかりました。）。

６、「レポート」の「Generate Report」からレポートを出力します。結果は次の投稿にします。

※参照サイトは下記です。

https://chigusa-web.com/blog/owasp-zap-install/

2023年11月21日2024年1月27日

OWASP ZAPのインストールしました。

「OWASP ZAP」のインストールでは、JAVAの事前にインストールする必要があります。下記の注意事項を考慮して、下記のサイトが参考になると思います。
https://zenn.dev/singularity/articles/d9a555238061e9

※注意事項です。
下記のJAVAを使用しました。
https://www.oracle.com/jp/java/technologies/downloads/

下記では「OWASP ZAP」のインストールでJAVAがないと言われました。
https://www.java.com/ja/download/

2023年11月19日2024年1月27日

Webアプリケーションの診断ツールです。

Burp Suite (バープスイート)・・・プロの方はこちらが多いそうです。有料ですが無料で使える機能もあります。
OWASP ZAP（オワスプ・ザップ）・・・無料で使える機能が多いそうです。こちらを試したら、投稿します。

https://portswigger.net/burp
https://www.zaproxy.org/download/

2023年11月16日2024年1月27日

サイトにマルウエアが仕込まれていないか確認できるサイトです。

私のサイトは0/90でマルウェア等がいないことが証明されました。確認したい場合は。下記から「URL」を選択してIPアドレスを入れてみてください。

https://www.virustotal.com/gui/home/url

2023年11月14日2024年1月27日

ChatGPTで脆弱性診断について聞きました。

さらっとした返事がきました。

2023年11月14日2024年1月27日

自分のPCをインタネットに繋いでいるルータの脆弱性確認

自分のPCをインタネットに繋いでいるルータの脆弱性確認ができます。自分が契約しているプロバイダーのルータを外側からスキャンする話です。ポートは23と113がOPENでした。下記のサイトに入って、「Proceed」ボタンを押して、「All Service protcol」を選択後を選択します。

GRC | ShieldsUP! — Internet Vulnerability Profiling

2023年11月12日2024年1月27日

自宅のWifiルータの初期パスワード

自宅のWifiルータを設定している時、管理者（admin等）のパスワードを初期パスワードのまま使用をしていませんか？
古めのルータを使用している場合は要注意です。私のルータでは初期パスワードから変えていませんが、個体ごとにパスワードは異なっていましたので、大丈夫でした。外部のインターネットからログインされることはないと思いますが、集合住宅や戸建てでもWifiの圏内からプライベートネットワークのルータIDがわかると、ログインされてしまう可能性があります。

下記が各社ルータの初期パスワードが載っているサイトです。パスワードを忘れた時のお役立ちサイトの位置づけです。

https://www.routerpasswords.com

https://portforward.com/router-password/