就活生のみなさんへ ~文系?理系?~ « サーバーワークス社長ブログサーバークスCEOブログ 大石蔵人之助の「雲をつかむような話」は、 「はてなブログ」へ移行致しました。 旧ブログ記事のURLからお越しの皆様は自動で新ブログへ転送されます。 転送されない場合、恐れ入りますが下記URLから移動をお願い致します。 新URL:https://ceo.serverworks.co.jp/ 引き続き、大石蔵人之助の「雲をつかむような話」を宜しくお願いいたします。
データベースに関わる暗号化を考える
1.データベースと暗号化 データベースにかかわる暗号化については、その対象とする脅威とその対策によって以下のようなポイントがあります。 ネットワーク上の盗聴に対して通信経路の暗号化を行う OSレベルでのファイル盗難、バックアップメディアの盗難などに対して格納データの暗号化を行う。 バックアップメディア内のデータのみ暗号化を行う。 「2.」と「3.」は似ていますが、データベースを取り巻く実際の脅威と、既に実施されている各種のセキュリティ対策を合わせて考えたとき「稼働しているサーバー自体は十分保全されていてリスクは小さいので性能優先にしたいが、バックアップメディアの輸送中や倉庫管理などについては対策が必要」といったような場合に「3.」を選択するケースもあると考えられます。 今回はこの中で特に「2.」の「格納データの暗号化」について取り上げてみたいと思います。 2.データベースの暗号化が対応する
Googleの二段階認証を3400円のUSBキーで試す
Amazon.co.jpでFIDO 1.0仕様のUSBキーを購入しました。ようやく二段階認証が一般的になるのではないかと期待しています。 本コラムでもたびたび取り上げてきた「二段階認証(二要素認証)」。設定や運用に手間がかかる半面、クラウドサービスなどのアカウント乗っ取りを防ぐためには、とても有効な仕組みです。 現時点では、たとえ面倒でも二段階認証を使うしかないと考えています。そこで今回は、現状の不満点をほんのちょっと変えられそうな面白いデバイスを紹介します。 FIDO対応のちいさな“鍵”「YubiKey」を使ってみる 入手したのは米Yubicoが販売する「YubiKey」というデバイス。一見するとUSBメモリのようにみえますが、これが物理的な「鍵」になります。 直販サイトにはさまざまな機能を持つYubiKeyがリストアップされていますが、一番シンプルな「FIDO U2F SPECIAL
2 段階認証は本当に安全なのか調べてみた | はったりエンジニアの備忘録
このブログを読んでいる人なら Google や AWS の 2 段階認証(マルチファクタ認証)を有効にしていると思います。もしパスワードが漏れてしまってもワンタイムパスワードを入力しないと認証されないので安心です。 有名どころのサービスでは使えるところが増えてきましたが、2 段階認証を有効にしていれば万全なのでしょうか。エンジニアである以上、その仕組みを理解したうえで自信を持って安全と言いたいところ。 というわけで、2 段階認証は本当に安全なのか仕様を紐解きながら調べてみました。 ワンタイムパスワードの仕様 ワンタイムパスワードを生成する仕様は HOTP と TOTP の 2 つがあり、RFC の仕様になっています(TOTP はドラフト段階)。 HOTP (HMAC-Based One-Time Password Algorithm) TOTP (Time-Based One-Time P
OWASP ZAP ハンズオンセミナー 「セキュリティ診断(自分でしたら)いかんのか?(OWASP ZAPなら)ええんやで(^ ^)」第一回~第三回の内容まとめ・後編
OWASP ZAP ハンズオンセミナー 「セキュリティ診断(自分でしたら)いかんのか?(OWASP ZAPなら)ええんやで(^ ^)」第一回~第三回の内容まとめ・後編 2)実際の検査におけるZAPの設定と手順 前編の1)で「Standerd Mode」の状態で「クイックスタート」による検査を行ったが、これはあくまでもZAPの動作を確認するための手順で、実際の検査ではもう少し細かい指定をして検査を行う。 以下に実際の検査時の手順を説明する。 ・ブラウザのプロキシを設定し、ブラウザで検査対象のページにアクセスする 前編の事前準備のところで解説した手順で、ZAPのプロキシ設定の調整(調整不要ならデフォルトで)と、ブラウザへのプロキシ設定を行う。 その状態で、検査対象とするサイトにアクセスすると、ZAP画面下部の「履歴」タブや左の「サイト」のところにアクセスしたサイトやURLが表示される。 ・モー
Ubuntu 12.04 LTSサーバーを安全にする
タグ: セキュリティー Ubuntu この記事は、The Fan Clubというサイトの"How to secure an Ubuntu 12.04 LTS server - Part 1 The Basics"という記事を著者のChristiaan Diedericksさんの許可を得て、翻訳したものです。 私はUbuntuデスクトップのユーザではありませんが、VagrantやDigital Oceanのドロップレットで、Ubuntu サーバー版を使用することがあり、この記事を見つけました。まとまっているようなので、少しずつ翻訳しながら、紹介していきます。 この記事にはPart2があります。そこでは、ここで紹介している内容をデスクトップのGUIから設定できるツールが紹介されています。しかし、デスクトップ環境のインストールが必要なため、利用は限られるでしょう。Zenityではなくdialog
エンタープライズ:第3回 rootkit検出ツールによる検査 (1/6)
rootkitによるハッキングとその防御 第3回 rootkit検出ツールによる検査 (1/6) これまではrootkitの概要について実例を出して説明してきたが、今回はrootkitの検出ツールを利用して、rootkitのインストールされたシステムから、rootkitを洗い出す作業を行ってみよう。 chkrootkitの導入 「chkrootkit」は名前からも憶測できるように、システムにrootkitが組み込まれていないかを検査してくれるツールだ。比較的有名なツールであるため、すでに導入されている方もいるだろう。 chkrootkitは、rootkitおよびワームの検出の以外にも、ネットワークインターフェースがプロミスキャスモードになっていないか、ログファイルlastlog/wtmpは改ざんされていないか、隠蔽されているプロセスはないか、といった項目をチェックすることができる。 原稿執
OWASP ZAPの基本的な使い方(手動診断編)
WEB系の情報セキュリティ関連の学習メモです。メモなので他情報のポインタだけ、とかの卑怯な記事もあります。 ※2020.9 注記:本ブログの解説記事は内容が古くなっております。OWASP ZAPなどのソフトウェアの解説は現行バージョンの仕様から乖離している可能性があります。 12月から業務として脆弱性診断を毎日やっており、診断にはOWASP ZAPとFiddlerを利用しているのですが、ほぼ一月使ってみてZAPの使い方や便利さが分かってきたので、自分の把握したZAPの使い方をシェアすることにします。 はじめに・診断対象サイトについての注意OWASP ZAPでの診断は自分の管理下にあるサイトか、診断許可をもらっているサイトに対してのみ行ってください。(アクセス数によっては途中のインフラにも気をつける必要があります) 許可をもらっていないサーバへZAPの診断を走らせるのは、不正アクセスと解釈さ
Qualys SSL Labs
HOW WELL DO YOU KNOW SSL? If you want to learn more about the technology that protects the Internet, you’ve come to the right place. Books Bulletproof SSL and TLS is a complete guide to deploying secure servers and web applications. This book, which provides comprehensive coverage of the ever-changing field of SSL/TLS and Web PKI, is intended for IT security professionals, system administrators, a
第15回 フリーツールで行うネットワーク脆弱性検査
第15回 フリーツールで行うネットワーク脆弱性検査:知ってるつもり?「セキュリティの常識」を再確認(1/6 ページ) Webアプリケーションの検査に加えて、サーバやネットワークの検査も重要だ。改めてネットワーク脆弱性検査の重要性を認識するためにも、今回はフリーツールを使ったネットワーク脆弱性検査を紹介する。 5月中旬に企業のWebサイトに不正侵入される被害が相次いだ。あなたの管理しているサーバでも同様の被害を受けるかもしれない。さらには機密情報の漏えいにもつながってしまう。そのためにも、前回説明したWebアプリケーションの検査に加えて、サーバやネットワークの検査も必要である。ネットワーク脆弱性検査については、昨今インターネット上や書籍などで解説されているが、今一度ネットワーク脆弱性検査の重要性を認識していただきたい。 ネットワークデバイス/サーバの脆弱性を調査するには、次のような8つの作業
練習用脆弱Webアプリケーションの調査
無料で使える練習用脆弱Webアプリケーション(やられWebアプリケーション?)は、結構いろいろあってそれぞれ何が違うのかが分かりにくいです。一度整理してみたかったのでいくつか調べてみました。 OWASP BWA (Broken Web Applications Project)公式サイトowaspbwa – OWASP Broken Web Applications Project – Google Project HostingOWASP Broken Web ApplicationsメモVMwareイメージで配布されている。VirtualBoxでも使用可2013年9月27日に、バージョン 1.1.1 がリリースされた(ファイル名は、OWASP_Broken_Web_Apps_VM_1.1.1.7z)。いろいろなオープンソースのアプリケーションが含まれている。OWASP WebGoatO
OWASP Zed Attack Proxy (ZAP)とは?
Software WebSecurity OWASP Zed Attack Proxy (ZAP)とは?※当サイトにはプロモーションが含まれています。 概要OWASP Zed Attack Proxy (ZAP)の公式サイトによると以下のように説明されています(翻訳してみました)。 The Zed Attack Proxy (ZAP)は、Webアプリケーションの脆弱性を見付けるための簡単に使える統合ペネトレーションテストツールです。幅広いセキュリティの経験を持った人々に使って貰えるようにデザインされており、またペネトレーションテストをしたことがない開発者や機能テスターにとっても理想的なものになっています。 ZAPは手動で脆弱性を見付けることができるツール群はもちろんのこと、自動スキャナーも提供します。 OWASP Zed Attack Proxy Project 基本的な情報OWASP の
第32回 PHPセキュリティ月間(Month of PHP Sercurity) | gihyo.jp
3年前にMonth of PHP Buug(MOPB)としてPHP本体のセキュリティ上の問題を公開したStefan Esser氏が、今年の3月にPHPとPHPアプリケーションやセキュリティ上の問題を公募し公開するPHPセキュリティ月間(Month of PHP Security - MOPS)プロジェクトを行われました。 http://php-security.org/ MOPBのレポートもこのサイトで公開されています。PoCは当初は公開されていましたが、ドイツの法改正に伴い攻撃手法の公開が禁止され、削除されていました。詳しい事情は分かりませんが、現在はまた公開されているようです。 Stefan Esser氏に許可を得たので、これから数回に渡ってこのプロジェクトについて紹介します。 Month of PHP Securityとは MOPBは個人プロジェクトとして行われましたが、Month
第39回 MOPS:静的PHPソースコード脆弱性スキャナ RIPS | gihyo.jp
第32回 PHPセキュリティ月間(Month of PHP Sercurity)で「PHPセキュリティ月間」(MOPS - Month of PHP Security)について簡単に紹介しました。 今回は静的にPHPソースコードを分析しセキュリティ脆弱性を検査するツールの紹介です。 MOPS Submission 09: RIPS - A static source code analyser for vulnerabilities in PHP scripts http://www.php-security.org/2010/05/24/mops-submission-09-rips-a-static-source-code-analyser-for-vulnerabilities-in-php-scripts/index.html 昨年発見された脆弱性のおよそ3割がPHPアプリケーシ
Selenium と OWASP ZAP を使った自動脆弱性検査への道標
Webアプリケーションをローカル環境で開発している場合に、Selenium と OWASP ZAP を使って自動的に脆弱性検査を実行するための設定・実行手順について説明します。使用するプログラミング言語には依存しない範囲で書くので、具体的な記述方法までは踏み込みません。 前置き大まかに言うと、開発中のWebアプリケーションに対してまず Selenium を使ったテストを実行し(この時、ブラウザのプロキシ設定をZAPにしておきます)、その後で OWASP ZAP による脆弱性検査を行います。自動といっても、今回はローカルのPC上でブラウザやZAPがGUI起動することを前提としています。GUIのない環境でブラウザを実行できるツールもありますし(XVFB, PhantomJS, etc.)、ZAPもデーモンモードで起動できますので、CUI環境(サーバ上等)でも今回のテストは可能なはずです。しかし
AWSで脆弱性/侵入テスト申請する場合には - サーバーワークスエンジニアブログ
AWSのリソースに対して脆弱性/侵入テストを行う場合は事前に申請をしておく必要があります。 申請情報 申請時に必要な情報は以下の通りです。 診断先EIP 192.168.1.5 診断先インスタンスID i-hogehoge インスタンスが診断元か、診断先か 診断元?診断先? スキャンをする診断元IPアドレス XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX インスタンスがあるリージョン 東京リージョン(等) 開始時間 2014/3/11 10:00 終了時間 2014/3/25 19:00 診断元サービス、企業名、および連絡先 セキュリティアプリ名 連絡先(URL等) コメントがあれば 返信時に追加したいメールアドレスがあれば penetration@example.com 備考 スキャン対象のインスタンスですが、t1.micro/m1.sma
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
5分でできる!情報セキュリティポイント学習(IPA 情報処理推進機構提供)
サービス終了のお知らせ
SSLv3で問題になるフィーチャーフォンの対応 - Qiita
AWSでセキュリティを高める!
