Apacheの多重拡張子にご用心
先日の日記『「10日でおぼえるPHP入門教室 第4版」はセキュリティ面で高評価』では、同書のアップロード機能のセキュリティ面を評価しつつ、「もうひと踏ん張り確認して欲しい内容がある」として、画像XSSの可能性について指摘しました。では、これを直せば完璧かというと、実はそうとも言えないという微妙な問題があります。それは、アップロード先の場所とファイル名の問題です。 ファイルをアップロードするディレクトリ: ドキュメントルート下の /php10/doc/ ファイル名: ブラウザから送信されたファイル名そのまま これらのうちファイル名の拡張子については、gif/jpg/jpeg/pngのみを許すという、いわゆるホワイトリスト検査がされていて、またgetimagesize()関数により、画像ファイルであることの簡易的なチェックをしています。しかし、この状態では、環境によってはアップロードしたファイ
[PDF] SELinux再入門 -基礎編-
FFRI,Inc. 1 Monthly Research SELinux 再入門 -基礎編- 株式会社FFRI http://www.ffri.jp Ver 2.00.01 FFRI,Inc. SELinux再入門のすすめ • 近年、仮想化やコンテナ、AndroidなどでSELinuxを使ったセキュリティ強化が 進んでいる • 一方、サーバ用途において、SELinuxを無言で無効化してきた技術者は数多 い – Web検索のレコメンドで一目瞭然である • 本資料は、最新のSELinux応用事例を理解するための準備資料としての活 用を想定 • なお次回以降、数回に渡り最新のSELinux応用事例を調査する予定 2 FFRI,Inc. 3 SELinux再入門 • SELinuxの概要 • SELinuxのアクセス制御モデル – Type Enforcement (TE) – Role-base
AWS Management Consoleで限られた操作ができるユーザを作成する
皆さんこんにちは。 梅雨が明けて真夏日ばかりの日々ですね。暑いのが苦手なので、この季節は堪えます。 さて、先日外部の方にEC2のインスタンス管理を任せたいという事案が発生しました。頻繁に使うインスタンスではないため、使用時だけ立ち上げて終わったら落とす、という運用です。 インスタンスの起動は事前準備が要らないManagement Consoleを使うことになりました。ただ、普段のAWSアカウントを渡すわけにはいきません。このエントリーは操作範囲を極力限定したアカウントを作るための備忘録です。 条件 概ね以下の2つです。 Management Consoleにログインできる 特定のインスタンスだけ操作できる ちなみに、これだけだとEC2のインスタンス一覧は見えてしまうのですが、そこは止む無しと判断しました。 AWSのポリシー設定について AWSの各リソースや操作に関する権限は、グループやユー
管理画面のアクセスコントロール
IE のままじゃダメなの? ~ Microsoft Edge のメリットとこれからを見据えた Web システム運用のテクニック ~TAKUYA OHTA
パスワードリマインダが駄目な理由
昨日、某著名サイトのパスワードリマインダの方式が変更になっていることに気がつきました。 旧: 現在のパスワードをメールで送信する(パスワードリマインダ) 新: パスワード再設定の画面のURLをメールで送信する(パスワードリセット) 新しい方式(パスワードリセット)の方が優れていますが、それでは何故パスワードリマインダは駄目で、パスワードリセットの方がよいのでしょうか。このエントリではその理由について説明します。 パスワードリマインダのリスク 良く指摘されるように、パスワードリマインダの場合、2つの問題があります。 現在のパスワードをメール送信できるということは、パスワードをハッシュ値で保存していない証拠である メールは平文通信なので、パスワードを書いたメールが盗聴されると被害が甚大になる これらのうち、パスワードの保存方法については別稿にゆずるとして、このエントリでは盗聴のリスクについて検
なぜiOSでUDIDが必要とされていたのか、メモ - snippets from shinichitomita’s journal
iOSやその開発事情に詳しいと言える状態にはないので、調査を兼ねて書く。 Apple Sneaks A Big Change Into iOS 5: Phasing Out Developer Access To The UDID – TechCrunch http://wirelesswire.jp/Watching_World/201108221335.html 上記の「iOSでUDIDの利用が禁止」というニュースを聞いた時、正直TL上にこんなにいっぱい反応が貼り出されるとは思っていなかった。さすがにUDIDをいじるのはまずいよね、っていうコンセンサスは開発者の間では常識的部類に入ってくるのだろうと楽観的に捉えていたのかもしれない。 以下、なぜUDIDがそのようにスマートフォン開発者に利用されてきたのかについて、調べた限りでまとめてみた。 アプリケーションのサーバとのセッション保持 い
ユーザー登録なしでユーザーを識別するベストプラクティス - その後のその後
アプリを起動していきなりサインインや新規アカウント作成が必要だとそこで辞めてしまうユーザーは多い。 で、ユーザー登録ステップを踏まずにユーザー識別する手段としてまずUDIDを使う方法を思いついてしまうのですが、下記のようなすごくためになる記事がありまして、 iOS デバイスでの番号・番号・番号( UDID、ICCID、IMEI、... ) それによるとUDIDを使うのはだいぶリスキーなようです。 UUIDを認証に使った場合、他者に漏れると簡単になりすましができてしまう。この為、認証に使ってはいけない。また生のまま暗号化されていないネットワークに流すことや、サーバ側で管理することも推奨されない(UUIDを元に個人が特定できる可能性が出てくるため、漏洩した場合まずいことになる)。ログを取る目的などで単にユーザを分別するのに利用したい場合は、適当な文字列(SALT)を加えてから MD5や SHA
Windows8.1に統合されたSkyDriveに間違ってもエロ絵を入れてはいけない - 仮想と現実
WIndowsが8.1になって、SkyDriveがOSに統合された。なんというかSkyDriveは長いことWebからファイルをアップロード、ダウンロードする古色蒼然たるインターフェースを持っていたのだが、ついにOSからローカルドライブと変わらない使い方ができるようになった。まずはめでたい。と言いたいところだが、SkyDriveの規約を見たことがあるだろうか。 Web上でSkyDriveを開き、「使用条件」を見ると Microsoft サービス規約 というページに出る。この中に 1.2.本サービスを使用するときに遵守する必要があるのはどの条項ですか。 マイクロソフトの目標は、より安全でセキュリティが強化された環境を構築することです。したがって、本サービスを使用する場合、お客様は、本条項、上記の参照によって本契約に組み込まれる Microsoft の迷惑メール対策ポリシー (http://go
さくらのVPSに来る悪い人を観察する その2
さくらのVPSにアタックしてくる人たちを、ハニーポットなど使いながらその行動を観察した記録です。観察日記。 今回のネタは以下2つです。 *SSH honeypot(Kippo)を使った悪い人の行動観察、アンケート */cgi-bin/php (Apache Magica攻撃)の観察 なおこのスライドは、2013年12月7日のSecurity Casual Talks(すみだセキュリティ勉強会)での発表資料です。 http://ozuma.sakura.ne.jp/sumida/ またスライド中、動画は以下のURLで閲覧できます http://youtu.be/gp3SBjZNWHURead less
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
辞書攻撃をする人は何をどう使っているのか
Node.js ランタイムに対する自動スケーリングの拡張機能