攻撃者側から見た侵入前の事前調査(下見)
サーバへの不正侵入、Webページの改ざん、さらには機密情報の漏えいなど、ここ数年、インターネット上で発生するセキュリティ侵害事件が後を絶たない。そのため最近では、企業や組織の多くは、そういったセキュリティ侵害を意識してからか、ファイアウォールやIDSなどを設置し、自サイトのセキュリティ強化に取り組んでいる。 しかし、そういった対処を行っているにもかかわらず、セキュリティ侵害事件が後を絶たないのはなぜだろうか? それは、最も根本的な問題である、実際に守るべき資産(情報)が格納されている、サーバ自身のセキュリティが確保されていないからだ、と筆者は考える。 本稿では、数回にわたり実際の攻撃者が行うであろう一連の手法と、それらの攻撃を防ぐためのサーバにおける対策方法について解説する。環境はUNIXをベースとするが、Windowsについても適時紹介する予定だ。 なお、あらかじめ断っておくが、本連載は
攻撃者が侵入後に行うバックドアの設置例
※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 「第3回 侵入者の攻撃手法とその対策」では、対象サーバ内への侵入に成功した。本稿では、攻撃者が侵入後によく行う、バックドアを仕掛ける手法について説明する。 バックドアとは 対象サーバへの侵入に成功した攻撃者は、対象サーバ上でさまざまな不正行為を行うだろう。そして、その不正行為の目的によっては、対象サーバに何度も侵入する必要があるかもしれない。そういったときに攻撃者がよく行うのが、対象
「Hudson」改め「Jenkins」で始めるCI(継続的インテグレーション)入門
「Hudson」改め「Jenkins」で始めるCI(継続的インテグレーション)入門:ユカイ、ツーカイ、カイハツ環境!(21)(1/4 ページ) CIツール「Hudson」改め「Jenkins」とは 「Jenkins」とは、CI(継続的インテグレーション)ツールとして有名な「Hudson」の開発者たちにより開発されているCIツールです。Hudsonは商標上などの問題によりJenkinsと名前を変えて継続することが発表されたので、記憶に残っている方も多いと思います。現在では落ち着いて開発されているようです。 本稿では、今話題のJenkinsの使い方を紹介します。本記事の想定読者は、Java開発を行っている方で、「今までCIを導入していなかったけどこれから導入しよう」「Jenkins(Hudson)は使えそうだけど、難しそうだなぁ」と思っている方を対象としています。本稿を読めば、10分程度でJe
【第24回 HTML5とか勉強会レポート】 108もあるぞ! HTML5の要素数(1/1) - @IT
【第24回 HTML5とか勉強会レポート】 108もあるぞ! HTML5の要素数:D89クリップ(36) 現在、HTML5の要素数は108ある。その中から、注目のAPI、FileSystem API、Web Audio API、Geolocation APIができることをチェックしよう! FileSystem API、Web Audio API、Geolocation API 2011年12月26日、ソフトバンクモバイルで「第24回 HTML5とか勉強会」が開催されました。HTML5とか勉強会は、HTML5に関心のあるエンジニアやコーダー、デザイナ向けの勉強会です。今回は特定のテーマに沿った形式ではなくオムニバス形式で、主にエンジニア向けのセッションでした。 セッションではいくつかのサンプルが紹介されました。サンプルの動作確認はGoogle Chrome 16で行っています。Google
AcidテストとWebブラウザの仕組み(1/2) - @IT
Webブラウザ非互換性の温床となったのは何か? 株式会社ピーデー 川俣晶 2008/7/3 Internet Explorer 8.0やFirefox 3.0で注目されるWebブラウザ。いまこそ、復習しよう。Webブラウザの非互換性の発生源は何だったのか? (編集部) Webブラウザを総復習 Internet Explorer 8.0のベータ版が提供され、Firefox 3.0が正式リリースされるいま、Webブラウザをめぐる状況は再び激動しようとしています。 ここで、私たちWebブラウザのユーザーは、新しく提供されるWebブラウザのどれを使うべきか、あるいは、従来どおりのWebブラウザを使い続けるか、選択を行う必要に迫られます。 しかし、いまの私たちは、Webブラウザ選びを行うために必要な基礎知識を本当に持っていると、自信を持って断言できるでしょうか? そんなことは分かっている、と思うかも
JavaScriptでファイル操作!? File APIを使いこなそう
連載目次 近年のWebアプリケーションでは、画像ファイルやテキスト・ファイル、Officeファイルのアップロードやダウンロードのやり取りが行われることが多くなってきている(例えば、Twitter上での画像ファイル共有やGoogleドキュメントでのOfficeファイルのアップロードなどがそれだ)。 HTML5では、ファイル操作に関するAPIとして「File API」が定義されたことで、ローカルのファイルをブラウザ上で直接、取り扱うことが可能となった。これによって、Webとローカルの違いをアプリケーションで意識しなければならない局面も少なくなる。 現在、File APIは以下の3種類の仕様が策定されている。
がんばれ!アドミンくん 第300話 これからどうなる? - @IT
Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27) AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24) エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21) キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう Azure Web AppsでWordPr
Oracleを適切にインストールするには
全22回で構成される本連載で、「Silver DBA10g」の合格に必要な知識を身に付けましょう。入門的な資格である「ORACLE MASTER Bronze Oracle Database 10g」(参考:「ORACLE MASTER Bronze DBA講座」「ORACLE MASTER Bronze SQL基礎I 講座」)に比べて範囲が広く問題数も多いため、取りこぼしがないよう1つ1つの項目を確実に押さえていくようにしましょう。 それでは、Silver DBA10gの範囲に沿って、問題を解きながら解説していきます。 Oracle Database 10gソフトウェアのインストール ポイント Oracleソフトウェアをインストールするための前提要件、環境構成が対象となります。また、インストール時に実行する必要のあるorainstRoot.shやroot.shスクリプトによる処理内容も理
.NETとは何か?
2000年6月にマイクロソフトが「Microsoft .NET」を発表してから早くも11年。編集長目線で現時点の.NETを整理し直す。 連載目次 2000年6月にマイクロソフトが「Microsoft .NET」を発表してから、およそ11年が過ぎた。2002年3月に、そのMicrosoft .NET対応のソフトウェア開発環境である「Visual Studio .NET」が正式リリースされたが、それから数えても9年の月日が流れている。 2011年現在、「初期の『.NET』と現在の『.NET』では意味が異なる」と、筆者は考えている。例えば、その当時のMicrosoft .NETについて解説した記事である「基礎解説 初めてのMicrosoft .NET」を現時点で読んで「.NET」を語ると、ほかの開発者と議論がかみ合わないはずだ。 そこで本稿では、「.NETとは何か?」について、これから新たに.N
基礎から分かる、Facebookアプリの作り方
基礎から分かる、Facebookアプリの作り方:無料クラウドでできるFacebookアプリ開発入門(1)(1/5 ページ) FacebookでWeb開発者/デザイナは何ができるのか 「Facebook」とは、「全世界で5億人を超える」といわれているユーザーが参加しているSNS(ソーシャル・ネットワーキング・サービス)/ソーシャルネットワークです。2008年5月にはインターフェイスも日本語化され、現在は日本国内でも約700万人以上のユーザーが利用しているといわれています。 Web開発者/デザイナから見た場合、Facebookをアプリケーション・プラットフォームとして利用することで、さまざまな付加価値をユーザーに提供できます。 SNSをプラットフォームとする動きとしては、国内でも「mixi(ミクシィ)」「GREE(グリー)」「モバゲータウン」などが「OpenSocial」の仕様に沿って進んでい
なぜTwitterは低遅延のままスケールできたのか 秒間120万つぶやきを処理、Twitterシステムの“今” − @IT
ユーザー同士のつながりを元に時系列に140文字のメッセージを20個ほど表示する――。Twitterのサービスは、文字にしてしまうと実にシンプルだが、背後には非常に大きな技術的チャレンジが横たわっている。つぶやき数は月間10億件を突破、Twitterを流れるメッセージ数は秒間120万にも達し、ユーザー同士のつながりを表すソーシャル・グラフですらメモリに載る量を超えている。途方もないスケールのデータをつないでいるにも関わらず、0.1秒以下でWebページの表示を完了させなければならない。そのために各データストレージは1~5ms程度で応答しなければならない。 Twitterのリスト機能の実装でプロジェクトリーダーを務めたこともあるNick Kallen氏が来日し、2010年4月19日から2日間の予定で開催中の「QCon Tokyo 2010」で基調講演を行った。「Data Architecture
Android開発で泣かないための「テスト」の重要性(1/2) - @IT
8月6日、日本Androidの会テスト部(以下、テスト部)主催によるイベント「第1回Androidテスト祭り」が都内で開催された。テスト部は、Androidプラットフォームでの開発において、特にソフトウェア検証テストに関する情報共有や問題解決を目的とした組織だ。2010年9月に発足し、イベント開催時点では276名のメンバーがいるという。 今回のイベントは、その自由度の高さや多様性ゆえに課題を抱えるAndroidアプリ開発のテストについて、開発者同士やコミュニティでの情報交換を目的に開催された。テスト部では、すでに日本Androidの会の総合イベント「Android Bazaar and Conference」での講演をはじめ、さまざまな活動を行っているが、単独イベントは今回が初だ。
新野淳一の@IT Technology Key Point 第3回 いま、ネットワークに何が起きているのか - @IT
元@IT編集人で、現在はブログメディアPublickeyを運営している新野淳一氏をパーソナリティとし、ゲストとともにIT業界の注目トピックを解き明かすUstream番組!! 元@IT編集人で、ブログメディア「PublicKey」を主宰する新野淳一氏が、IT業界の注目トピックを主要ベンダのゲストとともに解き明かすUstream番組「新野淳一の@IT Technology Key Point」が、久しぶりに帰ってきました。 第3回のテーマは「ネットワークに何が起きているのか」。最近、イーサネットを取り巻く技術が進化し、これまでイーサネットを特徴付けてきた「ループ構造があってはいけない」といった原則が崩れ始めようとしています。 その向かう先にある「ファブリックネットワーク」とは何か。柔軟なシステム、柔軟なクラウドの実現に必要な「ネットワークの仮想化」は何を意味するのか――こうした問いへの答えを、
@ITイベントカレンダー
平素よりイベントカレンダー+ログをご利用いただき、誠にありがとうございます。 イベントカレンダー+ログは「IT・製造業・ビジネス関係のイベント(セミナー・展示会・勉強会・コンテスト・Webイベントなど)を開催する企業・コミュニティが登録したイベント情報のポータルサイト」として約7年間運営をしてきました。これまでサービスを続けることができたのは、イベントカレンダー+ログのコンセプトに共感をいただき、適切なイベント情報をお寄せいただいた皆さまのご支援があったからこそと考えております。重ねて御礼申し上げます。 しかしながら、イベント情報の入手方法の多様化やイベント紹介サービス市場の状況、@ITの今後のメディア運営方針などを検討した結果、2020年6月30日(火)15:00をもちましてイベントカレンダー+ログのサービスを終了することにしました。 これまでご利用をいただきました皆さまには残念なお知ら
クロスブラウザはもう古い! HTML5+CSS3時代のプログレッシブ・エンハンスメント
IE 9が登場! ユーザーの閲覧環境がますます多様化! 4月26日、ついに日本でもInternet Explorer(以下、IE) 9が公開されました。また、マイクロソフトは早くもIE 10のプレビュー版を公開しており、CSS3やJavaScript周りが、さらに強化されるなどリッチなWeb表現が加速してきています。 IEのみならず、Firefox、Safari、Google Chrome(以下、Chrome)など他のWebブラウザもすさまじい勢いで進化してきており、スマートフォンやタブレットPCなどのデバイスも続々と開発され、ユーザーの閲覧環境がますます多様化してきています。 そうした流れの中で、必然的に欠かすことができなくなる知識が、この「プログレッシブ・エンハンスメント」という概念です。 プログレッシブ・エンハンスメントって何? Webブラウザや端末などの閲覧環境が多様化してきていま
@IT:連載 Strutsを使うWebアプリケーション構築術(1)
アプリケーション・フレームワーク「Struts」 昨今、とみに「フレームワーク・プログラミング」という言葉が取りざたされることが多くなってきました。そして、本稿のテーマでもあるStrutsもまた、「サーバサイドJava」――サーブレットベースで動作する「アプリケーション・フレームワーク」の一種です。 Strutsプログラミングの具体的な手続きを紹介していくに先立って、まずはこのアプリケーション・フレームワークとしてのStrutsについて、簡単に解説しておくことにしましょう。 ■アプリケーションの枠組み フレームワーク、それはアプリケーションを構築するうえでの「枠組み」であり、「ルール」であり、(語弊を恐れずにいえば)「制限」です。 昨今、アプリケーション構築におけるチーム開発の重要性がますますクローズアップされています。アプリケーションがますます大規模化し、また、基幹システムの一角をも担う
自宅にデータセンターを自作できるポゴプラグ - @IT
2011/02/03 米クラウドエンジンズとソフトバンクBBは、米クラウドエンジンズ製のパーソナルクラウドを構築するためのデバイス「Pogoplug(ポゴプラグ)」を2月4日から国内の販売店の店頭およびECサイトで発売を開始すると発表した。 ポゴプラグは4つのUSB2.0ポートを備え、最大4つのUSBドライブを接続できる。ユーザーは購入後、自前のHDDとルータを接続しポゴプラグのWebサイトを通じてセットアップすると、クラウドエンジンズが用意したホスティング先にPCやiPhone、Androidなどのデバイスとポゴプラグのマッピングをして、どこからでもアクセスできるようになる。 iPhone、iPad、Android端末向けに無料アプリケーションもあり、外出先からファイルをアップロードしたり、共有したり、音楽や動画を再生したりできる。 ポゴプラグの非ユーザーとデータ共有をしたい場合は、共有
第2回 JavaScriptの関数をマスターしよう
関数内部で利用できる特殊なオブジェクト - argumentsオブジェクト - JavaScriptの関数を利用する場合に、もう1つ忘れてはならないトピックとして、argumentsオブジェクトがある。argumentsオブジェクトは、関数の内部でのみ利用可能なオブジェクトで、関数に渡された引数値を管理することができる。 ■JavaScriptは引数をチェックしない argumentsオブジェクトは、具体的にどのような局面で利用すればよいのか ―― それを解説する前に、まずは以下のコードをご覧いただきたい。 function display(msg) { window.alert(msg); } display(); // undefined [A] display('山田'); // 「山田」と表示 [B] display('山田', '掛谷');
連載:C# 4入門 - @IT
第2回 簡潔なコーディングのために (2017/7/26) ラムダ式で記述できるメンバの増加、throw式、out変数、タプルなど、C# 7には以前よりもコードを簡潔に記述できるような機能が導入されている 第1回 Visual Studio Codeデバッグの基礎知識 (2017/7/21) Node.jsプログラムをデバッグしながら、Visual Studio Codeに統合されているデバッグ機能の基本の「キ」をマスターしよう 第1回 明瞭なコーディングのために (2017/7/19) C# 7で追加された新機能の中から、「数値リテラル構文の改善」と「ローカル関数」を紹介する。これらは分かりやすいコードを記述するのに使える Presentation Translator (2017/7/18) Presentation TranslatorはPowerPoint用のアドイン。プレゼンテー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ゼロから理解する「Oracle RAC」
