セキュリティ技術を学びたいんだけど、どうすればいいの?と聞かれるのですが、一番、もっとも効果的で手っ取り早いのは、毎月リリースされている「マイクロソフト著:月刊:Patch Tuesday」リリースノートを読み込んで、書かれている… https://t.co/j5XLe9QrZa
HiBARA Software が提供するアタッシェケースは、オープンソースのファイル暗号化ソフトです。アタッシェケースには、ATC ファイルに含まれるファイル名の処理に起因する、ディレクトリトラバーサル (CWE-22) の脆弱性が存在します。
はじめに サーバ管理をしている身としては、 セキュリティ は常に付きまとう悪魔みたいなもので、このセキュリティに関しては何をどこまで頑張ればいいのか不透明な部分が多い。 脆弱性に関しては、CVEなど、毎日情報は入ってくるが、それがどのサーバの何に関連したものなのかなんていちいち調べてられないし、どの脆弱性がすぐに対応しなければいけないもので、どの脆弱性があとあと対応すればいいものなのかなんてわからない。 実際のところ、大きな話題になった脆弱性くらいしか緊急で対応してないという人は多いのではないかと思う。 そんな中、満を持して登場したのが vuls !! 各サーバの脆弱性情報を取得して、個々のサーバそれぞれでどんな脆弱性があり、どのくらいやばい脆弱性なのかを検知できるようになった! 今回はこのvulsを紹介します。 Vulsとは 公式でロゴが発表されたので、差し替えました 公式ドキュメント:
■ CCCはお気の毒と言わざるをえない 驚きのニュースが舞い込んできた。CCCがプライバシーマーク(Pマーク)を返上したというのである。日経コンピュータの取材によれば、CCC社の「管理本部法務部リーダー」と、「経営戦略本部リスク・コンプライアンス統括部情報管理Leader」と、「経営戦略本部法務部会員基盤Leader」の3氏もそろってこれを認めているという。 CCC(ツタヤ)がプライバシーマーク返上で日本中のプライバシーフリークが騒然の事態(山本一郎) - Y!ニュース https://t.co/BKKhMTRyqX — やまもといちろう (@kirik) 2015, 11月 19 書きました。後編は来週掲載です。/ なぜCCCはプライバシーマークを返上し、T会員規約を改訂したのか(前編) https://t.co/mJFLHTEnvK — Naoki Asakawa / 浅川直輝 (@n
最初に「読む」PHP(クジラ飛行机)を読みました。本書にはセキュリティ用語(クロスサイトスクリプティング、SQLインジェクション等)はほとんど出てきませんが、脆弱性についてよく配慮された記述となっています。しかし、その細部の詰めが甘く、脆弱性が混入してしまいました。その内容を報告したいと思います。 クロスサイトスクリプティング 出力時にHTMLエスケープするという原則を比較的早い段階で説明しています。その説明が素晴らしいと思いました。 ユーザーから送信されたデータを、PHPを使ってそのまま画面に表示することは、レイアウトの崩れや セキュリティ上の危険につながります。必ず、HTMLに変換してから表示します。そこで、画面に「(^o^)<Hello」と表示するプログラムを作ってみましょう。 「HTMLに変換して」という表現がとてもいいですね。難しくいうと、Content-Typeをtext/pl
暗号化技術は、情報の保護やコンピューターセキュリティに欠かせない技術である。今回は暗号化技術の基礎として、暗号化の基本、暗号の安全性、共通鍵暗号と公開鍵暗号について解説。 暗号化技術は、情報の保護やコンピューターセキュリティに欠かせない技術である。ファイルやデータの暗号化の他、HTTPSや、無線LANにおけるWEP/WPA/TKIP/AESのようなセキュアな通信、証明書やデジタル署名、PKIなど、多くの場面で暗号化技術が使われている。今回からしばらくは、暗号化の基礎や共通鍵暗号、公開鍵暗号、証明書、PKIなどについて、IT Proの初心者向けに暗号化技術の基礎を解説していく。今回は、暗号化の基礎を解説する。 暗号化とは データを保護するだけなら、暗号化ではなく、「ファイルの許可属性(読み出し禁止などの属性)」や「アクセス制御(ACL)」などの方法もある。これらは、アクセスするユーザーに応じ
この連載では、Webシステムの要件定義や基本設計で押さえておきたいセキュリティについて解説してきました。前回まではWebアプリケーションのセキュリティが中心でしたが、最終回では一般的なインフラのセキュリティ対策、インフラやネットワークを狙った攻撃の種類、各種機器の設定・管理上の注意点を説明し、まとめとしてソフトウエア開発とセキュリティについて筆者の考えを述べます。 システム開発の現場では、「アプリケーションの設計・開発」を担当するエンジニアと、「インフラやネットワークの設計・構築」を担当するエンジニアが分かれているところが多いと思います。しかし、プロジェクトのグレーゾーンを作らないためには、Webアプリケーションの設計・開発に携わるSEやPM(プロジェクトマネジャー)にも、インフラ担当のエンジニアや顧客と会話するうえで最低限の知識は必要です。 アプリケーションよりもインフラは攻撃されやすい
ブロック暗号とは共通鍵暗号の一種で、ブロックと呼ばれる固定長のデータ単位で暗号化を行います。 (ビット単位やバイト単位で暗号化をするものはストリーム暗号です。) [参考記事] PHPで暗号化・複合化を行う ブロック暗号 [参考記事] Javaで暗号化・複合化を行う ブロック暗号 [参考記事] Perlで暗号化・複合化を行う ブロック暗号 [参考記事] Rubyで暗号化・複合化を行う ブロック暗号 平文データ(生データ)から暗号化されたデータを作成することを暗号化(encryption、encrypt)、暗号化されたデータから元の平文データに戻すことを復号(decryption、decrypt)といいます。 プログラム言語の暗号化ではencryptやdecryptなどの関数名・メソッド名になっていることが多いです。 もちろん元に戻せる(可逆変換)ことが前提で、md5やshaなどはハッシュ化と
Linux GNU Cライブラリ(glibc)に存在する脆弱性がセキュリティ企業「Qualys」によって確認されました。この脆弱性「CVE-2015-0235」が利用されると、Linuxのオペレーティングシステム(OS)を搭載する PC上で任意のコードを実行することが可能になり、結果的にサーバーの乗っ取りや不正プログラム感染させることができます。「Heartbleed」や「Shellshock」、「POODLE」と同様に、この脆弱性は「GHOST」と名付けられました。その後の調査により、この脆弱性は深刻であるものの、攻撃に利用するのが難しく、攻撃の可能性は極めて低いことが判明しました。 「GHOST」は、glibc の関数「gethostbyname*()」を呼び出すことで引き起こされるバッファーオーバーフローの脆弱性です。この関数は、ドメイン名を IPアドレスに解決するためにさまざまなア
<<< JPCERT/CC WEEKLY REPORT 2014-12-25 >>> ■12/14(日)〜12/20(土) のセキュリティ関連情報 目 次 【1】ntpd に複数の脆弱性 【2】PHP に解放済みメモリ使用の脆弱性 【3】複数のアライドテレシス製品にバッファオーバーフローの脆弱性 【4】複数の Dell iDRAC 製品にセッション管理に関する脆弱性 【5】CA Release Automation に複数の脆弱性 【6】複数のルータに脆弱なバージョンの Allegro RomPager を使用している問題 【7】EMC Documentum シリーズの製品に複数の脆弱性 【8】WBS ガントチャート for JIRA にクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】『仮想戦争の終わり - サイバー戦争とセキュリティ - 』発売 ※紹介するセキュリティ関連情報
先日「サーバーのセキュリティ設定がなにすればいいかわからない」と相談をうけまして。 自分も初心者の時どこまでやればいいかわからず手当たりしだいにやって沼に入っていたのを思い出しながら自鯖構築したときのメモを元にまとめてみました。 注意 セキュリティ対策は用途や場合などによって違います。 自分で理解したうえで自己責任でおねがいします。 対象読者 Linuxのサーバーを建て慣れていない人 Linuxはある程度さわれる人(自分でパッケージを入れたり、サービスを止めたりできる) ラインナップ ☆は導入の重要度と導入の容易さから個人的偏見からつけた値です。 4つ以上が"最低限やること"だと思ってください。 sshd
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く