会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
ウノウラボ Unoh Labs: 5分でできるウェブサーバのセキュリティ向上施策
こんにちは、naoya です。 先日、ウノウが公開しているサービスの中にいくつかの脆弱性が見つかったため、社内で「脆弱性発見大会」を開催しました。この大会は、二人一チームに分かれてウノウが公開している各サービスの脆弱性を見つけることを目的とした大会です。結果は、いくつか各サービスに脆弱性が見つかり、すぐに修正することができました。 僕のチームは、ウノウのホームページやラボブログなど細かいサービスを担当しました。その中で、いくつかのウェブサーバにセキュリティ上あまい設定がありました。 今日は、ウェブサーバのセキュリティ向上のための設定方法についてエントリします。なお、ウェブサーバはApache 2.2系を前提としています。 サーバ情報の表示しない ウェブサーバ(Apache)で、404などのエラーページを表示したとき、ヘッダやページの下にApacheやOSのバージョンが表示されます。こういっ
インストール不要の無料アンチウイルスソフト「ClamWin Portable」 - GIGAZINE
オープンソースで開発されているアンチウイルスソフト「ClamAV」のWindows版である「ClamWin Free Antivirus」をUSBメモリでも動作するように改良したのが今回紹介する「ClamWin Portable」です。Windows 98/Me/2000/XP/Vistaに対応しています。 一般的なアンチウイルスソフトと違って常駐してリアルタイム監視する機能はないのですが、ウイルスだけでなくスパイウェア駆除にも対応しており、定期的なスキャンや定義ファイルの自動ダウンロードも可能。定義ファイルは一日に数回から十数回アップデートされるので通常の使用については特に問題はありません。 というわけでダウンロードと使い方は以下から。 ダウンロードは以下から行います。 ClamWin Portable | PortableApps.com - Portable software for
Japan Vulnerability Notes
JVNVU#93546510: KDDI製ホームゲートウェイHGW BL1500HMにおける複数の脆弱性 [2024/03/22 13:00] JVNVU#98188101: Advantech製WebAccess/SCADAにおけるSQLインジェクションの脆弱性 [2024/03/22 13:00] JVNVU#90953541: バッファロー製LinkStation 200シリーズにおける任意コード実行の脆弱性 [2024/03/22 11:00] JVNVU#93188600: UDPベースのアプリケーション層プロトコル実装におけるサービス運用妨害 (DoS) の脆弱性 [2024/03/21 16:00] JVNVU#93571422: Franklin Electric製EVO 550および5000における'/../filedir'に関するパストラバーサルの脆弱性 [2024/0
.htaccess実践活用術
現在、WEBサーバのシェアとしてはApacheが過半数を占めています。英国Netcraft社の調査によると2016年4月におけるApacheのシェアは49.15%である(active sitesにおけるシェア。参照:Netcraft: April 2016 Web Server Surveyy)。 2位のnginxを大きく引き離しています。このような世界的に人気の高いApacheをウェブマスターとして使いこなす方法として、このホームページでは.htaccessの利用法について解説します。httpd.confに触ることのできない一般のウェブマスターさんを対象に、「アクセス制限」「カスタムエラーページの設定」「MIMEタイプの設定」など実用度の高い利用法に絞って紹介します。「何をしたいか」のかを中心に、.htaccessの利用法を説明する構成になっています。
バックナンバー:SSHの安全性を高める
SSHサービスによって安全にリモート管理が行える点は、UNIX系OS(Linuxを含む)の美点といってよいだろう。しかし、SSHサーバの設定が不適切だったり、安易なパスワードを設定しているユーザーがいたりすると、SSHを介してクラッカーに侵入されていまうおそれがある。そこで、ここではOTPの過去記事の中から、SSHサーバを安全に運用するために有用なものを厳選して紹介する。 SSHの基本:SSHのセキュリティを高めるためのハウツー 2007年04月03日 この記事では、SSH(secure shell)サービスのセキュリティを高めるのに役立つ簡単な方法をいくつか紹介する。SSHサーバの設定ファイルは/etc/ssh/sshd_configとなっている。このファイルを変更した後は、変更を反映させるためにその都度SSHサービスを起動し直す必要がある。 SSHの活動範囲を制限:SSHjailを用い
韓国 IP アドレスからのパケットを遮断する
韓国(.kr)・中国(.cn)・台湾(.tw)・香港(.hk)等,アジア地域からのアクセスを フィルタリングするための iptables を用いたシェルスクリプトです。もちろん Linux 専用です。 APNIC の IP アドレス割り当てリスト に掲載されている上記の国と地域のネットワークからの TCP 接続を遮断します。 ただし,自分から上記の国と地域のネットワークへ接続することはできます。 FreeBSD をお使いでしたら,水無川研究所さんの ipfwとBINDによるNaverRobot対策フィルタ が参考になると思います(というか知ってる人ですが……)。 日本の IP 領域にアクセスしてくるワームは,おおかた上記の国と地域からのものです。特に韓国からがひどいといえます。 また,韓国には,悪名高い NaverRobot ように DoS まがいのアクセスを仕掛けてくる自称サ
画像ファイルに PHP コードを埋め込む攻撃は既知の問題
(Last Updated On: 2015年9月10日)国内外のメディアで「画像ファイルに攻撃用のPHPコードが含まれていた」と比較的大きく取り上げられています。しかし、この攻撃手法は古くから知られていた方法です。条件は多少厳しくなりますがPerl, Ruby, Pythonでも同様の攻撃は考えられます。PHPの場合は言語仕様的に他の言語に比べ攻撃が容易です。 典型的な攻撃のシナリオは次の通りです。 追記:Tokenizerを使った例に修正しました。 アバダなどの画像ファイルをアップロードできるサイトを探す ローカルファイルインクルードバグを探す 画像ファイルにサイトが利用している言語のコードを埋め込む 攻撃コードを含んだファイルを画像ファイルとしてアップロードする ローカルファイルインクルードバグを利用して攻撃コードを実行する PHPの場合、リモートインクルードバグを攻撃するための攻撃
Webアプリケーションを作る前に知るべき10の脆弱性 ― @IT
Webアプリケーションが攻撃者に付け込まれる脆弱性の多くは、設計者や開発者のレベルで排除することができます。実装に忙しい方も、最近よく狙われる脆弱性のトップ10を知ることで手っ取り早く概要を知り、開発の際にその存在を意識してセキュアなWebアプリケーションにしていただければ幸いです。 Webの世界を脅かす脆弱性を順位付け OWASP(Open Web Application Security Project)は、主にWebアプリケーションのセキュリティ向上を目的としたコミュニティで、そこでの調査や開発の成果物を誰でも利用できるように公開しています。 その中の「OWASP Top Ten Project」というプロジェクトでは、年に1回Webアプリケーションの脆弱性トップ10を掲載しています。2004年版は日本語を含む各国語版が提供されていますが、2007年版は現在のところ英語版のみが提供さ
実験 : ビギナー管理者のためのブロードバンド・ルータ・セキュリティ講座(3/5) - @IT
実験 ビギナー管理者のためのブロードバンド・ルータ・セキュリティ講座 第2回 Windowsのファイル共有サービスをブロックする(1) デジタルアドバンテージ 2002/03/07 今回は、Windows LANにとってセキュリティ・ホールになりがちな「Windowsのファイル共有サービス」を、ブロードバンド・ルータのパケット・フィルタリング機能で防御する方法を解説しよう。パケット・フィルタリングについては、すでに「ネットワーク・デバイス教科書:第13回 ブロードバンド・ルータのセキュリティ設定」に詳細が記されているので、ぜひ参考にしていただきたい。 Windowsのファイル共有が「危険」なワケ Windowsが標準で備えるファイル共有サービスは、すでにオフィスのLANで必須であり、最も多用されているネットワーク・サービスの1つといってよいだろう。Windows 2000 ServerやL
インジェクション系攻撃への防御の鉄則
前回までは,主にクロスサイト・スクリプティングのぜい弱性とその対策について解説してきた。最終回となる今回は,クロスサイト・スクリプティング以外の「インジェクション系」ぜい弱性について解説する。具体的には,SQLインジェクション,OSコマンド・インジェクション,HTTPヘッダー・インジェクション,そしてメールの第三者中継である。 SQLインジェクション対策にはバインド変数の利用が最適 まず,SQLインジェクションから見ていこう。対策には二つの方法がある。一つは,SQLの「バインド変数(注1)」を使う方法である。バインド変数の書式はプログラミング言語によって異なるが,一例として,Perlを使った場合に,パスワード認証のSQLをバインド変数で書き換えた例を示す(図1)。 (注1) 「準備された文(Prepared Statement)」というのがJIS SQLでの用語だがあまり普及していない。バ
まだまだあるクロスサイト・スクリプティング攻撃法
前回はクロスサイト・スクリプティングのぜい弱性を突く攻撃の対策としてのHTMLエンコードの有効性を述べた。ただ,HTMLエンコードだけではクロスサイト・スクリプティング攻撃を完全に防御することはできない。そこで今回は,HTMLエンコードで対処できないタイプのクロスサイト・スクリプティング攻撃の手口と,その対策について解説する。 HTMLエンコードで対処できない攻撃には,次のようなものがある。 タグ文字の入力を許容している場合(Webメール,ブログなど) CSS(カスケーディング・スタイルシート)の入力を許容している場合(ブログなど) 文字コードを明示していないケースでUTF-7文字コードによるクロスサイト・スクリプティング <SCRIPT>の内容を動的に生成している場合 AタグなどのURLを動的に生成している場合注) 以下では,HTMLタグやCSSの入力を許容している場合と,文字コードを明
「PHPバグ月間」への対処法,危険な関数を無効にしよう:ITpro
PHPセキュリティ・レスポンス・チームを離脱したPHP開発者のStefan Esser氏が,3月にPHPのバグを公表し続けた活動「Month of PHP Bugs(PHPバグ月間)」をご存じだろう(関連記事:「3月は「PHPバグ月間」,元開発者がバグを毎日公開へ」,「PHPのぜい弱性を毎日公表するプロジェクト,ユーザ会のメンバーが日本語訳公開」)。Stefan Esser氏が公開したバグのいくつかは,危険な関数を無効にすることで回避可能である。 もし読者が自身のサーバーでPHPを使っている場合,エンジンの意図しない部分まで公開されていないか,その構成をチェックする必要がある。もしぜい弱な部分が公開されている場合は,そこからシステム全体,ひいては使っているネットワークの他の部分まで公開されてしまう可能性があるからだ。 使っているWebシステムが閉じている(つまり,他のユーザーによるファイル
高木浩光@自宅の日記 - JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり
■ JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり 一昨年7月のWASフォーラムのイベントで話した以下の件。 セキュアなWebアプリ実現のために本来やるべきことは? - 高木浩光氏, MYCOM PCWEB, 2005年7月12日 誤った解説や必要以上に危機感を煽る報道に不満 (略)アドレスバーがきちんと表示されていてURLが確認できる状態になった上で、SSLの鍵マークが表示され、ブラウザがSSL証明書に関する警告画面を出さなければ、いちいち証明書を開かなくても安全性は確認できるのに、未だに「安全性を確認するには証明書を開く必要がある」といった誤った解説が(それもセキュリティに詳しいとされている記者の記事の中で)なされている」と指摘。その上で「キーワードジャーナリズムは、よりユーザにとって手間のかからない対策手法を紹介すべきだし、
「104ビットのWEPを60秒足らずで破る」論文が公開 ― @IT
2007/04/05 無線通信に使われているWEP暗号を簡単に破る方法についての研究論文が公開された。以前から弱点が指摘されているにもかかわらず、いまだにWEPが広く利用されている状況に対し、警鐘を鳴らしている。 論文は「研究論文が公開され104ビットのWEPを60秒足らずで破る」というタイトルで、ドイツのダムシュタット工科大学の研究者が発表した。 WEPはIEEE 802.11のネットワークで伝送されるパケットを暗号化するためのプロトコル。セキュリティ上の弱点が以前から指摘されているにもかかわらず、現在でも広く利用されている。 論文で解説している方法では、WEPの基盤となっているRC4アルゴリズムに対する攻撃を強化。この結果、クラッキングにかかる時間が大幅に短縮され、54~58秒の間に104ビットのWEPキーを、50%の確率でクラッキングできたとしている。 SANS Internet S
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Microsoft Baseline Security Analyzer (MBSA)
IPA セキュア・プログラミング講座:Webアプリケーション編
セキュリティ脆弱性研究に役立つWebサイト:ITpro
http://e0166nt.com/blog-entry-98.html
http://e0166nt.com/blog-entry-96.html