nginxの設定ミスで起こるSSRF - Qiita
攻撃者はプロキシされたアドレスを完全に制御できるため、Nginxの代わりにリクエストを送信することが可能になります。 安全でない内部リダイレクト サーバー設定に internal locationがあり、そのlocationがプロキシされたサーバーのアドレスとしていずれかのリクエストデータを使用しているとします。 例: location ~* ^/internal-proxy/(?<proxy_proto>https?)/(?<proxy_host>.*?)/(?<proxy_path>.*)$ { internal; proxy_pass $proxy_proto://$proxy_host/$proxy_path ; proxy_set_header Host $proxy_host; } Nginxのドキュメントによると、内部リクエストは下記のようにあります。 requests re
A practical guide to testing the security of Amazon Web Services (Part 1: AWS S3)
Back in the days, the word Amazon used to refer to over half of earth's rainforests. While this is still true, it isn't what most people think of when they hear the word Amazon. Nowadays, people refer to the word Amazon as a place where they can order goods from the confort of their couches. However, Amazon offers much more than just a online marketplace. In 2006, Amazon launched a subsidiary cal
Wireshark によるパケット解析講座 1
本ブログは米国で2018年08月16日に公開されたUnit 42ブログ「Customizing Wireshark - Changing Your Column Display - Unit42」の日本語翻訳です。 Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。ITの専門職についているかたがたの中には、このツールを使って日々ネットワークのさまざまな問題を解決しておられる方も多いでしょう。パロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストのひとりとして、私もよくこの Wireshark を使ってマルウェア検体が生成したトラフィックをレビューしています。 そこで、今回は Wireshark の便利な機能のひと
脆弱性検査を行うOSSツール「OpenSCAP」で何が分かるのか
脆弱性検査を行うOSSツール「OpenSCAP」で何が分かるのか:OpenSCAPで脆弱性対策はどう変わる?(4) 本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、OpenSCAPの環境を構築し、実際に試してみた。 まずはOpenSCAPを試してみよう OSSセキュリティ技術の会の面和毅です。本連載「OpenSCAPで脆弱性対策はどう変わる?」では、実質的にグローバルスタンダードの「SCAP(Security Content Automation Protocol:セキュリティ設定共通化手順)」、およびそれを基にシステム構成や脆弱(ぜいじゃく)性検査を行うためのOSS(オープンソースソフトウェア)ツール「OpenSC
nginxの設定ミスで起こる脆弱性シリーズ試してみた。 - Qiita
はじめに @no1zy_sec氏がnginxの設定ミスで起こる脆弱性の翻訳記事を先日公開しました。 検証する機会があったため、再現できる検証環境と確認手順をまとめました。 各脆弱性に関する詳細や対策については、翻訳記事または原文をご確認ください。 検証できる脆弱性一覧 以下の脆弱性を検証することができます。 nginxの設定ミスで起こるHTTP Splitting nginxの設定ミスで起こるパス トラバーサル nginxの設定ミスで起こるSSRF nginxの設定ミスで起こるレスポンスヘッダの出力不備 nginxの設定ミスで起こるMultiline response headers nginxの設定ミスで起こるreferer/origin検証の問題 nginxの設定ミスで起こるリファラの検証不備 nginxの設定ミスで起こるHostヘッダフォージェリ 原文 Hostヘッダフォージェリに関
ネットワーク設定 – VirtualBox Mania
※ポートフォワードが必要 初心者の方はホストOSと同じように扱えるブリッジアダプターをおすすめします。 名前 ブリッジアダプタを選択している時には、ホストマシン上のどのネットワークアダプタを使うかを選択します。 NATネットワークを選択しているときには、環境設定で設定したネットワークを選択します。 アダプタータイプ アダプタタイプには以下の6種類があります。 PCNet PCI II (Am79C970A) PCNet FAST III (Am79C973) Intel PRO/1000 MT Desktop (82540EM) Intel PRO/1000 T Server (82543GC) Intel PRO/1000 MT Server (82545EM) 準仮想化ネットワーク (virtio-net) デフォルトのPCNet FAST IIIはほとんどのゲストOSで追加のドライバ
Mysqlでログ系テーブルを運用するときやっておきたいこと - 主夫ときどきプログラマ
SNSやソーシャルゲーム、アドネットワークなどのシステムではいろいろなログ情報をDBに保存することもあると思います。 そのさい、日々増えつづけるデータやパフォーマンスをどの様にさばいていくかが重要になってきます。 今回はログ系のデータをMysqlでどのように運用していくか、をテーマにいくつかのノウハウをまとめました。 ログ系テーブルの特徴 ログ系のデータとは、つまり何かのアクションの履歴データのことです。 一般的にはこのような形になるかと思います。 CREATE TABLE `t_logs` ( `id` bigint(20) unsigned NOT NULL, `user_id` int(10) unsigned NOT NULL DEFAULT '0', `event_id` int(10) unsigned NOT NULL DEFAULT '0', `created` datet
MySQL 5.7の罠があなたを狙っている
2015/08/22 YAPC::Asia Tokyo 2015 Lightning Talk 2016/01/13 update about default_password_lifetime will be 0Read less
デフォルトのままは危険? 「Windows 10」のプライバシー設定はこう変えよう | ライフハッカー[日本版]
便利な新機能が数多く搭載された「Windows 10」ですが、インターネットに出回っている情報を信じるなら、プライバシーと名のつくものすべてを骨抜きにしてしまう機能も盛り込まれているようです。けれど、そうした見方はちょっと大げさすぎます。ここでは、問題とされているWindows 10の設定が実際にはどんなものなのか、1つずつ検証するとともに、本当にプライバシーの侵害につながるものを洗い出していきましょう。 Windows 10は、これまでのバージョンと比べて「おうちに電話する」(Phoning Home:ユーザーが望まないのに、端末からサーバーに各種データが送信されること)頻度が高いと言われています。こうした評判はおおむね事実ですが、これらの機能の多くは「Windows 8」の時代からすでに存在していましたし、「Android」や「iOS」、あるいは「Chrome」などの他社製品にも搭載さ
![デフォルトのままは危険? 「Windows 10」のプライバシー設定はこう変えよう | ライフハッカー[日本版]](https://cdn-ak-scissors.b.st-hatena.com/image/square/6641d222bb1c6a51003a08769bfbfa7f4cfe28eb/height=288;version=1;width=512/https%3A%2F%2Fmedia.loom-app.com%2Flifehacker%2Fdist%2Fimages%2F2015%2F08%2F150814win10_privacy.jpg%3Fw%3D1280%26h%3D630%26f%3Djpg)
Redis クイックスタート | TECHSCORE BLOG | TECHSCORE BLOG
こんにちは、鈴木です。 最近、 KVS (Key Value Store) の一つである Redis を使い始めました。 KVS では memcached が有名ですが、それと比較してデータ型が豊富である点や、データの永続化をサポートしている点が Redis の特徴です。 Redis のインストール 現時点で Redis の最新版は 2.6.x ですが、手元の環境でパッケージからインストールしたところ 2.4 系統が入ってしまいました。 最新版を使ってみたかったので、ソースからインストールしました。 まず公式サイトからソースコードをダウンロードし、展開します。 cd /usr/local/src sudo wget http://redis.googlecode.com/files/redis-2.6.12.tar.gz sudo tar xvfo redis-2.6.12.tar.gz
#isucon ではどんなことを考えながら作業していたか - 酒日記 はてな支店
前のエントリ #isucon で優勝してきました は当日夜に酔っ払った頭で勢いで書き上げたので、少し冷静に振り返ってまとめてみます。 最初のボトルネック発見 DB が CPU 4コアをフルに使って回っているのですぐに Query が重いのは分かった 重いクエリはキャッシュすれば、という発想は自然 (実際 MySQL のクエリキャッシュだけでスコアは 1.5倍程度上がる)、とはいえ このクエリは実行に 300〜400 ms 程度かかる アプリケーションの要件上、毎秒更新する必要がある 1秒ごとに更新に 0.3〜0.4秒かかる処理をするのは悪手だろう cache が消えてから生成、とすると生成処理が複数同時に走って無駄が大きい (実際ベンチマーク中の slow query を見ると 600〜700 ms 程度の時間が掛かっていた) ということで、DB のテーブル構成を変更して高速化できないか、
Logjam: PFS Deployment Guide
Published May 2015 Our study finds that the current real-world deployment of Diffie-Hellman is less secure than previously believed. This page explains how to properly deploy Diffie-Hellman on your server. We have three recommendations for correctly deploying Diffie-Hellman for TLS: Disable Export Cipher Suites. Even though modern browsers no longer support export suites, the FREAK and Logjam atta
TLS暗号設定ガイドライン 安全なウェブサイトのために(暗号設定対策編) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
「TLS暗号設定ガイドライン」は、TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするためのガイドラインです。「様々な利用上の判断材料も加味した合理的な根拠」を重視して、TLS通信での実現すべき安全性と必要となる相互接続性とのトレードオフを考慮した3つの設定基準(「高セキュリティ型」「推奨セキュリティ型」「セキュリティ例外型」)を設けており、各々の設定基準に対応して、TLSサーバで設定すべき具体的な要求設定(「遵守項目」と「推奨項目」)を決めております。 本ガイドラインは安全なウェブサイトの作り方とともに適切な暗号設定をする資料の一つとしてお使いいただけます。 なお、本ガイドラインは、暗号技術評価プロジェクトCRYPTRECで作成されました。 「TLS暗号設定ガイドライン」の内容 1章と2章は、本ガイドラインの目的やSSL/TLSについての技術的な基礎知識を
Apacheの多重拡張子にご用心
先日の日記『「10日でおぼえるPHP入門教室 第4版」はセキュリティ面で高評価』では、同書のアップロード機能のセキュリティ面を評価しつつ、「もうひと踏ん張り確認して欲しい内容がある」として、画像XSSの可能性について指摘しました。では、これを直せば完璧かというと、実はそうとも言えないという微妙な問題があります。それは、アップロード先の場所とファイル名の問題です。 ファイルをアップロードするディレクトリ: ドキュメントルート下の /php10/doc/ ファイル名: ブラウザから送信されたファイル名そのまま これらのうちファイル名の拡張子については、gif/jpg/jpeg/pngのみを許すという、いわゆるホワイトリスト検査がされていて、またgetimagesize()関数により、画像ファイルであることの簡易的なチェックをしています。しかし、この状態では、環境によってはアップロードしたファイ
Redirecting to ssl-config.mozilla.org...
Mozilla SSL Configuration Generator Redirecting to the updated SSL Configuration Generator…
Security/Server Side TLS - MozillaWiki
The ordering of cipher suites in the Old configuration is very important, as it determines the priority with which algorithms are selected. OpenSSL will ignore cipher suites it doesn't understand, so always use the full set of cipher suites below, in their recommended order. The use of the Old configuration with modern versions of OpenSSL may require custom builds with support for deprecated ciphe
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
魔法の拡張子(.SettingContent-ms)
GitHub - yandex/gixy: Nginx configuration static analyzer
Administrator's Guide, Parallels Plesk Panel 11.0
GitHub - sektioneins/pcc: PHP Secure Configuration Checker
