ここ数年、大量データ処理時の高速性やデータ構造の柔軟性などから、「NoSQL」が注目を集めています。それと同時に、NoSQLを使うアプリケーションに対する攻撃手法も研究されるようになりました。この記事では、NoSQLを使ったアプリケーションの脆弱性と対策に... 続きを読む

• www.atmarkit.co.jp
• テクノロジー

WebアプリケーションにおいてJSONを用いてブラウザ - サーバ間でデータのやり取りを行うことはもはや普通のことですが、このときJSON内に第三者に漏れては困る機密情報が含まれる場合は、必ず X-Content-Type-Options: nosniff レスポンスヘッダをつけるように... 続きを読む

• d:id:hasegawayosuke
• テクノロジー

MongoDB is a scalable, high-performance, open source, document-oriented database. MongoDBに脆弱性があることがmongodb - SSJI to RCEにおいて報告された。内包しているSpiderMonkeyのnativeHelper()の使い方に問題があり、この脆弱性を利用されるとMongoD... 続きを読む

• news.mynavi.jp
• テクノロジー

Lucky discovery Trying some server side javascript injection in mongodb, I wondered if it would be possible to pop a shell. The run method seems good for this : > run("uname","-a") Sun Mar 24 07:09:49 shell: started program uname -a sh1838| L... 続きを読む

• blog.scrt.ch
• テクノロジー

国の省庁や企業などに対して相次ぐサイバー攻撃に対処できる人材を育てようと、コンピューターへの侵入などといったハッカーの知識や技術を競うコンテストが、東京で開かれました。 サイバー攻撃の技術に詳しく、被害を防ぐ活動を行う人たちは「ホワイトハッカ... 続きを読む

• www3.nhk.or.jp
• 世の中

すでにニュースでお読みになられた方も多いと思いますが、このところ、アメリカのテクノロジーとメディア企業を対象にした大規模なセキュリティ攻撃が行われています。この2週間にNew York Times、Wall Street Journalがシステムを、またAppleやMozillaはもとも... 続きを読む

• blog.jp.twitter.com
• テクノロジー

Abstract OAuth 2.0 は, サードパーティーアプリケーションによるHTTPサービスへの限定的なアクセスを可能にする認可フレームワークである. サードパーティーアプリケーションによるアクセス権の取得には, リソースオーナーとHTTPサービスの間で同意のためのイ... 続きを読む

• openid-foundation-japa...
• テクノロジー

星澤裕二 株式会社セキュアブレイン 2002/4/27 ■VPNとはいったい何だ 外出先などからインターネットを使って安全に社内へアクセスしたり、特定のビジネスパートナーに対して安全に情報提供したりするニーズが高まっている。以前は、このようなニーズに対して専... 続きを読む

• www.atmarkit.co.jp
• テクノロジー

AndroidからTwitterへアクセスするためのライブラリとして，Twitter4Jが有名です． これを使ってみようと，「Android Twitter4J」と検索すると 認証にWebViewを使った例がたくさん出てきます． ・・・いや，ちょっとまて． それはちょっとまずいだろう． そうい... 続きを読む

• shogo82148.github.com
• テクノロジー

これまでの連載では「OAuth」と「OpenID Connect」について紹介してきましたが、今回は少し趣向を変えて、UDIDについてお話しします。 これまでの連載では、「OAuth」と「OpenID Connect」について紹介してきました。今回は少し趣向を変えて、UDIDについてお話... 続きを読む

• www.atmarkit.co.jp
• テクノロジー

It has just come to light that the UIDevice uniqueIdentifier property is deprecated in iOS 5 and above. No alternative method or property appears to be available or forthcoming. Many of our existing apps are tightly dependent on this property... 続きを読む

• stackoverflow.com
• テクノロジー

[iOS] Keychain Services とは 2011年2月6日日曜日 | Published in iOS 4.2, Keychain Services, サンプルあり | 0 コメント Tweet パスワードを暗号化して安全に iPhone/iPad へ保管したい。iOS はこの用途の為に Keychain Services を提供している。今回は Ke... 続きを読む

• cocoadays.blogspot.com
• テクノロジー

2011年8月22日月曜日 UDIDが使えなくなりそうなので、UIIDを使えるようにしました つい先日TechCrunchがiOS5よりUDIDの使用が非推奨になると報道し、巷はiOSでのUDIDの使用についての話題で俄然盛り上がっています。セキュリティ的によろしくないから良い変更だ... 続きを読む

• akisute.com
• テクノロジー

Apacheの設定で Order deny,allow とか Satisfy any が、何だか意味わからん人のために。僕はずっとわかってなかった。 基本Apacheのアクセス制御には、 ホストによる制御 (Order,Allow,Deny) ユーザ認証による制御 (Auth*, Require)の2通りがある。Satisfyは、... 続きを読む

• koseki.hatenablog.com
• テクノロジー

■ 今こそケータイID問題の解決に向けて 目次 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 Web開発技術者向けの講演でお話ししたこと 研究者向けの講演、消費者団体向けの講演でお話ししたこと 総務省がパブリックコメント募集中 ソフト... 続きを読む

• takagi-hiromitsu.jp
• テクノロジー

iPhoneアプリ用のログイン情報設定画面の作り方という記事を先日書いたのだが、パスワードをNSUserDefaultsを使用して平文で保存する事はセキュリティの面から好ましくないとの事（Storing passwords in iPhone applications - Stack Overflow）。上記の記事に... 続きを読む

• d:id:tomute
• テクノロジー

オンラインのプライバシー問題に関して議会がさらに厳しい視線を向ける中、Appleは今週からUDIDにアクセスするアプリを拒絶し始めた。UDIDというのはiPhoneとiPadに割り当てられた1台ごとに異なるデバイスIDだ。6ヶ月以上前からAppleはこの点についてiOS関連の... 続きを読む

• matome.naver.jp
• テクノロジー

LinuxでIPマスカレードおよびパケットフィルタリングを実現するソフトウェアとしてipchains、iptablesがありますが、 カーネルバージョン2.4からiptablesがデフォルトで使用されるため今後使用されていくでしょう。 ipchainsとiptablesを同時に起動することはで... 続きを読む

• cyberam.dip.jp
• テクノロジー

著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対... 続きを読む

• www.jumperz.net
• テクノロジー

WEB開発で必ずついて回るのが、Submitボタン二度押しや戻るボタンを押されるなど、勝手な画面遷移をされないような配慮です。Strutsでは同期トークンという機能でこれらの考慮をサポートしてくれます。 実際にサンプルで、ある画面でSubmitを二度押ししたとき、... 続きを読む

• www.masatom.in
• テクノロジー

独立行政法人 情報処理推進機構（略称：IPA、理事長：藤原 武平太）は、ウェブサイト開発者・運営者が適切なセキュリティを考慮した実装ができるようにするための資料として、「安全なウェブサイトの作り方　改訂第3版」を2008年3月6日（木）より、IPAセキュリ... 続きを読む

• www.ipa.go.jp
• テクノロジー

脆弱性をテーマとした各種セミナーの講演資料を掲載。 特定非営利活動法人 日本PostgreSQLユーザ会 続きを読む

• www.ipa.go.jp
• テクノロジー

安全な ウェブサイトの 作り方 改訂第３版 ウ ェブアプリケーションのセキュリティ実装と ウェブサイトの安全性向上のための取り組み 2008 年 3 月 本書は、以下の URL からダウンロードできます。 「安全なウェブサイトの作り方」 http://www.ipa.go.jp/secur... 続きを読む

• www.ipa.go.jp
• テクノロジー

SQLインジェクション対策について 1. 2. 3. 4. SQL インジェクションの問題と脅威 SQL インジェクションの仕組みと対策 攻撃の痕跡を見つける まとめ 独立行政法人 情報処理推進機構（ＩＰＡ） セキュリティセンター 谷口 隼祐 Copyright © 2008 独立行政法人 ... 続きを読む

• www.ipa.go.jp
• テクノロジー

#!/bin/bash ########################################################### # このスクリプトの特徴 # # 受信・通過については基本的に破棄し、ホワイトリストで許可するものを指定する。 # 送信については基本的に許可する。ただし、サーバが踏み台になり外部... 続きを読む

• qiita.com
• テクノロジー

続きを読む

• okumocchi.jp
• テクノロジー

アイデア次第で業務効率大幅UP クラウド×スマートフォンで業務活用を推進 NTTドコモのモバイルグループウェアとは。 EC業界、クラウドでビジネスを加速 クラウドのビジネスモデル変革はEC業界へ パートナー企業×ベンダーが市況を語る IT部門キーマン650人緊急調... 続きを読む

• japan.cnet.com
• テクノロジー

オラクルは4月26日（米国時間。以下同）、JRE（Java Runtime Environment：Java実行環境）の最新版、JRE 7 Update 4（1.7.0_04）と、JRE 6 Update 32（1.6.0_32）を公開した。また5月2日、ブログ「Henrik on Java」で、JREの推奨バージョンをこれまでの「6」か... 続きを読む

• security-t.blog.so-net...
• テクノロジー

1.iptablesとは iptablesコマンドを使用することでLinuxカーネルのIPフィルタやNATを設定できる。 2.テーブルとチェーン iptablesにはテーブルとチェーンと呼ばれるものがある。IPフィルタ、NATなどの各用途に応じてfilter,nat,mangleのテーブルがある(表-1。カ... 続きを読む

• wiki.bit-hive.com
• テクノロジー

続きを読む

• q.hatena.ne.jp

毎年恒例の診断前準備として開発者向けに、「初心者Webアプリケーション開発者がチェックすべき情報源」を集めているので、皆さんにもご紹介。他に追加した方が良い情報源があった場合はご指摘いただけると助かります。上から重要な順。★がとりあえず読んどけ... 続きを読む

• d:id:connect24h
• テクノロジー

2012年7月6日金曜日 PHPの入門書を書くことになりました&レビュアー募集のお知らせ PHPの入門書をソフトバンククリエイティブさん出すことになりました。かねがね、PHPの入門書がよろしくないという問題意識を持ち、かつ色々な場でお話ししておりましたが、また... 続きを読む

• blog.tokumaru.org
• テクノロジー

ハッシュとソルト、ストレッチングを正しく理解する 本当は怖いパスワードの話 京セラコミュニケーションシステム株式会社 ネットワークサービス事業本部 技術顧問 徳丸浩 2011/10/6 「パスワードはハッシュで保存すれば安全」と思われていますが、本当にそれだ... 続きを読む

• www.atmarkit.co.jp
• テクノロジー

管理中のサーバで行っているセキュリティ設定を公開します。本当はこういうことを公開するのはよろしくないのですが、脆弱サーバが氾濫している現状そこが踏み台となってsshアタックされるのも迷惑極まりないので、最低限やっとけという内容でまとめました。*1 ... 続きを読む

• nabe.blog.abk.nu
• テクノロジー

独立行政法人情報通信研究機構（以下「NICT」、理事長： 宮原 秀夫）は、組織内ネットワークにおけるマルウェア感染などを迅速に検知し、警告を発行する対サイバー攻撃アラートシステム“DAEDALUS”（ダイダロス： Direct Alert Environment for Darknet And Li... 続きを読む

• www.nict.go.jp
• テクノロジー

Windows OSにおけるファイルの圧縮形式としては、ZIP形式（.ZIPファイル）が広く利用されている。現在のWindows XPやWindows Server 2003ではZIP形式は標準ファイル形式としてエクスプローラなどでもサポートされているため、利用しているユーザーも多いだろう... 続きを読む

• www.atmarkit.co.jp
• テクノロジー

Statistics Favorites 0 Downloads 0 Comments 0 Embed Views 0 Views on SlideShare 0 Total Views 0 SSH力をつけよう — Presentation Transcript SSH力を付けようHardeningZeroからの反省 2012/05/29 #ssmjp @togakushi 1 / 62 もくじ► おさらい► クライア... 続きを読む

• www.slideshare.net
• テクノロジー

OpenVPN - The Open Source VPNOpenVPN is a full-featured open source SSL VPN solution that accommodates a wide range of configurations, including remote access, site-to-site VPNs, Wi-Fi security, and enterprise-scale remote access solutions wi... 続きを読む

• openvpn.net
• テクノロジー

1.6 DoS攻撃 DoSとは"Denial Of Service"のことで提供するサービスの妨害や停止させるものを指します。 サービスを妨害する攻撃は以下の2種類に分けることができます。 過負荷をかけるもの 例外処理ができないもの 1.6.1 DoS攻撃の種類 DoS攻撃は、特定の手法を... 続きを読む

• www.ipa.go.jp
• テクノロジー

ApacheのDoS攻撃対策には、色々なモジュールが用意されてる。 有名どころだと、はてな製のmod_dosdetector、ITProでも紹介されたmod_evasiveだろうか。 これまで、mod_dosdetectorを利用してきたけど、今回はmod_evasiveを導入してみた。 モジュール、mod_evasi... 続きを読む

• ijo.cc
• テクノロジー

今日、出先からMTの記事を編集しようとしたら、「403 Forbidden」が表示されました。　それまでは何の問題もなく編集できていたのに、何で？　まさかMySQLをInnoDBに変更した影響じゃないよね？ しばらく放っておいてもう一度チャレンジしたら、今度はちゃんと... 続きを読む

• blog.still-laughin.com
• テクノロジー

ということで、いろいろと遊んでみますか mod_uploader http://acapulco.dyndns.org/mod_uploader/ 最強？とうわさのあぷろだを試してみます。 なぜかサムネイルが動かなかったのが原因判明したので覚書です サムネイルにはImageMagicを使用しますが、 ソースか... 続きを読む

• www.momo-i.org
• テクノロジー

この連載では、初心者にとってハードルの高いiptablesの設定を、テンプレートを用いながら紹介していきます。「習うより慣れよ！」の精神でまず試してみてはいかがでしょう。（編集部） 鶴長 鎮一 2010/7/14 はじめに 今回はDoS／DDoS対策を紹介します。今回はi... 続きを読む

• www.atmarkit.co.jp
• テクノロジー

ゼロから学ぶOAuth 第1回　OAuthとは？―OAuthの概念とOAuthでできること 2009年3月9日 真武信和 OAuth, Webサービス, smart.fm, Google 1 2 今回から始まった「ゼロから学ぶOAuth」。全4回の特集にて，これからのWebサービスを開発する上で不可欠な技術「OAuth... 続きを読む

• gihyo.jp
• テクノロジー

こんにちは、牧野です。久々の、9か月以上ぶりのブログです。。 仕事では、ここ1年近くずっっとインフラ関係のことをやっていました。 今日は、SSHに関するTIPSを紹介します。 １. 特定のサーバーにSSHログインする時に、特定の設定を使用する ホームディレクト... 続きを読む

• blog.asial.co.jp
• テクノロジー

netstatコマンドは、ホストのネットワーク接続状態やソケット／インターフェイスごとのネットワーク統計などを確認するためのコマンドだ。ホストが現在実行している接続一覧とそのステータスを確認できるほか、IPやTCP／UDP以下の各パケット統計やエラー状態な... 続きを読む

• www.atmarkit.co.jp
• テクノロジー

本稿では、「Developers Summit 2012」（デブサミ2012）において、2月17日に行われたJPCERTコーディネーションセンター 脆弱性アナリスト 久保正樹氏によるセッション「Java/Android セキュアコーディング入門」の内容を紹介する。 Androidアプリが抱える潜在的... 続きを読む

• codezine.jp
• テクノロジー

In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 一見、問題なさそうに見えます。しかし、... 続きを読む

• www.sakimura.org
• テクノロジー

管理中のサーバで行っているセキュリティ設定を公開します。本当はこういうことを公開するのはよろしくないのですが、脆弱サーバが氾濫している現状そこが踏み台となってsshアタックされるのも迷惑極まりないので、最低限やっとけという内容でまとめました。*1 ... 続きを読む

• nabe.blog.abk.nu
• テクノロジー

2008年5月1日 sshd[2001]: error: Bind to port 22 on 0.0.0.0 failed: Address already in use. 又、子供にサーバの電源を落された。で、そこ時に気付いたのだが、/var/log/secureに sshd[2001]: error: Bind to port 22 on 0.0.0.0 failed: Address already i... 続きを読む

• pcmemoofdkuro.blogspot...
• テクノロジー