タグ

関連タグで絞り込む (24)

タグの絞り込みを解除

セキュリティに関するcheckpointのブックマーク (12)

  • piyolog

    2024年5月28日、生成AIを使用したマルウエアを作成した容疑で警視庁が男を逮捕したことが報じられました。ここでは関連する情報をまとめます。 対話型生成AIを使用しランサムウエアらしきものを作成 男の容疑は不正指令電磁的記録作成。2023年3月31日に自宅PCやスマートフォンを使用して、対話型生成AIを使用し、不正プログラムの設計情報を組み合わせてマルウエアを作成した疑い。2024年3月に警視庁は男を偽造身分証を使用してSIMカードの不正契約を行ったなどとして詐欺容疑(今回の事案とは別件)で逮捕しており、*1 捜査より自宅から押収されたPCを解析したところマルウエアが発見された。*2 生成AIを使用したマルウエア作成の事案摘発は全国で初めてとされる。*3 男が作成したマルウエアは、実行環境のデータを破壊(暗号化とも報道)し、暗号資産の要求をする機能が含まれており、いわゆるランサムウエアに

    piyolog

  • CookieにログインIDを保存してはいけない

    phpproのQ&A掲示板で下記の質問を読みました。 ログインの際に、クッキーにログイン情報を保存し、ログアウトの際には、フォームタグの中でPOSTでログアウトの為の値を飛ばし、値を受け取ったらクッキーの有効期限をマイナスにしてクッキー情報を消すというログアウト処理を作っています。 同一ページでのCookieでのログアウト処理より引用 クッキーにそのままログイン情報を保持するのはよくありませんね。質問を更に読むと、以下のソースがあります。 setcookie("logid",$row["f_customer_logid"],time()+60*60*24); setcookie("point",$row["f_customer_point"],time()+60*60*24);どうも、SQL呼び出しの結果からログインIDを取り出し、それをそのままCookieにセットすることで、ログイン状態

    CookieにログインIDを保存してはいけない

  • あなたのWebサービスは狙われている!最低限押さえておきたいセキュリティ対策 | 株式会社LIG(リグ)|DX支援・システム開発・Web制作

    最近上京してきたんだけど、入谷から会社までくるのに徒歩10分の道のりで迷子になっちゃって、なんか知らない間に浅草の方まで行っちゃって、会社に遅刻しちゃって、東京ってマジ迷路だよね。あ、どうも、僕です。 今日はWebサービスを開発する上で最低限おさえておきたいセキュリティ対策について書こうと思うよ! セキュリティホールって、 案外簡単な見逃しでできちゃうんだよね。 バリバリのハッカーしかハッキングなんてしないから、 うちのサイトは安全だなんて思ってたら大間違いだよ! 今回は、その攻撃方法と、 それを防ぐための対策方法をセットにして書こうと思うよ! 最低限、これだけは守っとかないと、 あなたのWebサービス、攻撃されちゃうよ! ちなみに、言語はPHPを例とするよ! ほかの言語にも当てはまるから、 攻撃方法と対策をセットで頭に入れておくこと! クロスサイトスクリプティング (XSS) よくきくよ

    あなたのWebサービスは狙われている!最低限押さえておきたいセキュリティ対策 | 株式会社LIG(リグ)|DX支援・システム開発・Web制作

  • Macでインターネットに接続する前に確認しておきたいセキュリティ設定 - iTea3.0

    最近、Macを狙ったウイルスや不正アクセスがかなり増えてきました。Macでインターネットをはじめて接続する前に確認しておいたほうがいいなと思う最低限のセキュリティ設定を備忘録として残しておきたいと思います。

    Macでインターネットに接続する前に確認しておきたいセキュリティ設定 - iTea3.0

  • 情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方

    「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す

    情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方

  • [無視できない]IEのContent-Type無視

    [無視できない]IEのContent-Type無視:教科書に載らないWebアプリケーションセキュリティ(2)(1/2 ページ) XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 無視できないIEの「Content-Type無視」問題 皆さんこんにちは、はせがわようすけです。 第2回では、Internet Explorer(以下、IE)の仕様でも特に悪名高い「Content-Type無視」について説明します。 IEのContent-Type無視問題は非常に複雑で、私自身も完全に説明できる自信はないのですが、それでもセキュアなWebアプリケーションを開発するうえで避けては通れない問題ですので、取り上げることにしました。

    [無視できない]IEのContent-Type無視

  • 初心者Webアプリケーション開発者がチェックすべき情報源2012 - ハニーポッターの部屋

    毎年恒例の診断前準備として開発者向けに、「初心者Webアプリケーション開発者がチェックすべき情報源」を集めているので、皆さんにもご紹介。他に追加した方が良い情報源があった場合はご指摘いただけると助かります。 上から重要な順。★がとりあえず読んどけ、の必須。必須のポイントは、短期間で大雑把に網羅的にポイントが整理されているもの。 徳丸は今年は必須かな。電子書籍版もあるから、スマホに常備できるし。 あと、後半、まったく初心者向けじゃないけど、セキュリティキャンプ生向けにWebテストできるためのツール類を紹介。Webセキュリティ組の参考に、あと、ネットワークセキュリティ組もFiddler2を使うのはパケットの中身の可視化に良いと思うので、インストールして見られるのがよろしいかと。ここはツール情報を定期的にポストしようと思うので、キャンプ生はチェックしておいて欲しい。 ★Webサイト構築 安全な

    初心者Webアプリケーション開発者がチェックすべき情報源2012 - ハニーポッターの部屋

  • 報道発表資料 - 「パケット警察 for Windows」を開発しフリーウェアとして緊急リリース

    2012 年 10 月 22 日 (月) ソフトイーサ株式会社 技術開発部 (茨城県つくば市) 遠隔操作ウイルスによる冤罪防止のための通信記録・プロセス起動記録ソフト 「パケット警察 for Windows」を開発しフリーウェアとして緊急リリース 筑波大学発ベンチャー企業である ソフトイーサ株式会社 (代表取締役 登 大遊 / 店所在地 茨城県つくば市、以下「ソフトイーサ」といいます) は、新たに「パケット警察」という名称の、遠隔操作ウイルスによる冤罪防止のための通信記録・プロセス起動記録ソフトを開発しました。「パケット警察」は日よりフリーウェアとして無償でダウンロード可能です。 「パケット警察」は、近頃日において遠隔操作ウイルスにより知らない間にパソコンが踏み台にされ、かつ警察により誤認逮捕される方が発生する事件が頻発しインターネットユーザーの間で大変な不安が発生していることを鑑み

  • 有名フレームワークのCSRF対策方法を調べたまとめ - webネタ

    ZendFramework 流れ 表示時 : token生成→hiddenセット + セッションにセット 送信時 : 送られてきたtokenをセッションにあるものと同じかでチェック token生成方法 ランダム値 + salt + 固定値 + ランダム値 md5( mt_rand(1,1000000) . $this->getSalt() . $this->getName() . mt_rand(1,1000000) ); まとめ ランダム値をセッションにいれて、送られてきたものとチェック。 Symfony 流れ 表示時 : token生成→hiddenセット 送信時 : 送られてきたtokenを、再度生成したtokenと比較して同じかチェック token生成方法 salt + 固定値 + セッションID sha1($this->secret.$intention.$this->getSe

    有名フレームワークのCSRF対策方法を調べたまとめ - webネタ

  • 情報処理推進機構

    マナビDX「マナビDX」は、デジタルスキルを身につける講座を紹介するポータルサイトです。 はじめての方でもデジタルスキルを学ぶことのできる学習コンテンツを紹介します。​ また、掲載している講座の中には、受講費用等の補助が受けられる講座もあります。 IPAの“今”がわかる広報誌IPA NEWSは、IPAの活動状況や注力事業などをわかりやすくご紹介する広報誌。セキュリティ対策情報やDX推進に役立つ情報などをまとめてお届けしています。最新号の公開をメールでお届けするサービスをご利用いただけます。 サイバーセキュリティお助け隊サービス中小企業のサイバーセキュリティ対策に不可欠な各種サービスを、ワンパッケージで安価に提供するサービスです。サイバーセキュリティお助け隊サービスのサービス利用料は、IT導入補助金で支援が受けられます。

    情報処理推進機構

  • sshでポートフォワード

    sshには言わずと知れた「ポートフォワード」という機能があります。 読んで時の如しで、sshの暗号化されたトンネルを利用し、任意のポートに来た通信を転送できます。 何がうれしいかと言うと、リモートの 5432番 をローカルの 5432 にマッピング出きる。 つまり、sshさえ繋がれば、そのサーバから見える範囲ならなんでも使える!と言うことです。 1・ローカルへリモートのポートをマッピング 例えば、二つのホスト(chiba, shiga)があるとします。 chibaに、shigaの5900ポートをフォワードする場合は以下のようになります。

    sshでポートフォワード

  • サイボウズ株式会社

    サイボウズはクラウドベースのグループウェアや業務改善サービスを軸に、社会のチームワーク向上を支援しています。

    サイボウズ株式会社
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.