Dockerを使って、Apache Struts2の脆弱性S2-037のやられ環境を手軽に作る
技術部の津野田です。 先日、Apache Struts2の脆弱性S2-037が公開されました。 https://struts.apache.org/docs/s2-037.html このような危険度の高い脆弱性が公開された場合に、当社では独自に検証を行い再現性の確認を行っています。 この検証作業には、要件を満たしたやられ環境を用意する必要があります。 そんなときにも役立つのがDockerです。 今回はDockerを利用して、S2-037の検証に利用可能なやられ環境を手軽に構築するための手順を案内します。 はじめに 別途、Dockerのセットアップ作業が必要です。 Home - Docker まだの方は、セットアップしたうえで次の構築手順に進んでください。 本稿では、セットアップ手順については割愛します。 S2-037やられ環境の構築手順 早速手順の紹介に移りましょう! なお、Dockerコ
HTTP/2とTLSの間でapacheがハマった脆弱性(CVE-2016-4979) - ぼちぼち日記
0. 短いまとめ 昨晩apache2.4でHTTP/2利用時にTLSクライアント認証をバイパスする脆弱性(CVE-2016-4979)が公表され、対策版がリリースされました。 実際に試すと Firefoxで認証バイパスができることが確認できました。 HTTP/2でTLSのクライアント認証を利用するには仕様上大きな制限があり、SPDY時代から長年の課題となっています。 この課題を解決するため、Secondary Certificate Authentication in HTTP/2という拡張仕様が現在IETFで議論中です。 1. はじめに ちょうど昨晩、apache2.4のhttpdサーバの脆弱性(CVE-2016-4979)が公開され、セキュリティリリースが行われました。 CVE-2016-4979: X509 Client certificate based authenticatio
Apache Struts 2の脆弱性「S2-037」にご注意ください | セキュリティ対策のラック
Apache Struts 2のRESTプラグインをご利用の方は、至急アップデートすることを お勧めします。 なお、S2-037はS2-033と類似の脆弱性です。S2-033についてDMIの無効化により 対策していたとしてもS2-037の脆弱性は攻撃が成功しますのでご注意ください。 注意喚起情報は、ラックメールマガジン(臨時号)にて、いち早く皆様にお知らせしています。 配信をご希望の方はこちらからご登録いただけます。 米国時間の6月17日に公式サイトでアナウンスされたS2-037の脆弱性について、弊社では、WindowsおよびLinux上で動作するApache Struts 2(以降、Struts 2と呼ぶ)で有効な攻撃コードを確認しています。また、一部の攻撃コードは中国でも公開されています。 この脆弱性は、RESTプラグインを使用している場合に影響を受けます。 攻撃により、アプリケーショ
Apacheの多重拡張子にご用心
先日の日記『「10日でおぼえるPHP入門教室 第4版」はセキュリティ面で高評価』では、同書のアップロード機能のセキュリティ面を評価しつつ、「もうひと踏ん張り確認して欲しい内容がある」として、画像XSSの可能性について指摘しました。では、これを直せば完璧かというと、実はそうとも言えないという微妙な問題があります。それは、アップロード先の場所とファイル名の問題です。 ファイルをアップロードするディレクトリ: ドキュメントルート下の /php10/doc/ ファイル名: ブラウザから送信されたファイル名そのまま これらのうちファイル名の拡張子については、gif/jpg/jpeg/pngのみを許すという、いわゆるホワイトリスト検査がされていて、またgetimagesize()関数により、画像ファイルであることの簡易的なチェックをしています。しかし、この状態では、環境によってはアップロードしたファイ
Redirecting to ssl-config.mozilla.org...
Mozilla SSL Configuration Generator Redirecting to the updated SSL Configuration Generator…
ApacheのAddHandlerはセキュリティ上の懸念から使用すべきではない - このブログはURLが変更になりました
元ネタはこちら。 Apache AddHandler madness all over the place Gentoo Bug 538822 どういうことか 次のような指定は危険である。 AddHandler php5-script .php この時に指定される.phpはファイル名の末尾である必要はない。例えば、 aaa.php.html bbb.php.pngなどもphp5-scriptとして解釈されてしまうのだ。これは.XXX.YYYと複数の拡張子が書かれた場合、.XXXと.YYYもAddHandlerの対象となることが原因。 ちなみに次のような場合にはphp5-scriptとして解釈されない。 ccc.php_foo (.php_fooとして解釈されるため) ddd.php_bar.html (.php_barと.htmlとして解釈されるため)実はこのことはApacheのドキュメン
Home · mechamogera/MyTips Wiki · GitHub
action script action script3でhello world action script3でクロスドメインの画像読み込みを試してみる apache Apacheでand条件でアクセス制限を試してみた Apacheで他のサイトを自分のサイトのように表示してみる Apacheでクライアント認証してみる Apacheのクライアント認証をIPアドレスによっては不要にしてみる git-flow git flowをgitプロトコルが許可されていないproxy越しにhomebrewで導入する jenkins jenkinsプラグイン Jenkins Tips opencv opencvとc++で画素ごとのアクセスをやってみる squid Amazon Linuxのsquidで帯域制御したフォワードプロキシをたててみる squidで相手先に送信されるプロキシサーバーの情報を隠してみる
WAF(Web Application Firewall)でWebサイトを脆弱性から守る : アジャイル株式会社
はじめに 現在多くのWebサイトで、多数のWebアプリケーションが利用されています。 Webアプリケーションを作成する上では脆弱性を持たないように、セキュア・プログラミングを行うのが原則ですが、脆弱性に対する攻撃方法は日々進化しており、これら攻撃全てに対応するのは困難な場合も多いです。 Webアプリケーションに脆弱性が発見された場合、Webアプリケーションを改修して問題を修正するのが根本的な解決策です。 しかし、この方法を採るのが困難である場合に、WAFを適切に導入・運用する事で、Webサイトを保護する事が可能になる場合があります。 特に利用しているWebアプリケーションが以下のような状態の場合、WAF導入を検討してみる価値はあると思います。 オーダーメイドにより開発したシステムだが、保守期間を過ぎており改修が困難。開発した会社が既に存在しない等。 オープンソースを利用しているが、古いバー
Apache: ModSecurity (WAF) のインストール・設定方法 – Webアプリ脆弱性対策
本記事はWAF (Web Application Firewall)ソフトでApacheモジュールの一つである、ModSecurityのインストール及び簡易的な設定方法を記載する。本運用を考慮した設定は本記事では割愛するが、必要な参考リンクは適時記載するので参照されたし。 概要 (全体像) ModSecurity:TrustWave社がGPLv2 ライセンスのもと提供しているOSSのWAF。 ModSecurity: Open Source Web Application Firewall 下記の資料にWAFの概要からModSecurityの導入〜運用までの検討ポイントが記載されている。 IPA 独立行政法人 情報処理推進機構:Web Application Firewall 読本 OWASP Core Rule Set:OWASP(Open Web Application Securit
モジュール一覧 - Apache HTTP サーバ バージョン 2.4
以下は Apache HTTP サーバの配布物に同梱されているモジュールの 一覧です。Apache HTTP サーバ ディレクティブ のアルファベット順のリストもご覧ください。 コア機能と MPM core常に使用可能な Apache HTTP サーバのコア機能 mpm_common二つ以上のマルチプロセッシングモジュール (MPM) で実装されているディレクティブのコレクション eventA variant of the worker MPM with the goal of consuming threads only for connections with active processing mpm_netwareMulti-Processing Module implementing an exclusively threaded web server optimized for
例えば、Strutsを避ける
はじめに 筆者は10年以上ウェブアプリケーション開発を主な業務とするJavaプログラマであったにも関わらず、Strutsについてはこれまでずっと食わず嫌いでした。初期のStrutsは「XMLだらけで効率が悪そう」というイメージが強かったためです。最近はRuby on Rails等の影響を受けCoC(convention over configuration)を採り入れ、XML地獄もだいぶ解消したようです。 StrutsはJavaアプリケーションらしくない種類(任意のコード実行等)の脆弱性を連発することでも知られており、最近は我々の提供するSaaS型WAFサービス、Scutum(スキュータム)のお客様からも頻繁にStrutsについての問い合わせを受けるようになりました。また、去年見つかった任意のコード実行の脆弱性では、脆弱性の公表後すぐにPoCが出回り実際に攻撃が発生するなど、悪い意味で注目
mod_rewrite を利用したリバースプロキシ環境の作り方 - livedoor Blog(ブログ)
こんにちは、 最近愛用のMacbookが外観も中身もボロボロになってきて悲しいkyannyです。 ライブドアでは、画像やCSSファイルやjavascriptファイルなどの静的なコンテンツを配信するウェブサーバとウェブアプリケーション本体が稼働するアプリケーションサーバを別々のホストで運用する、いわゆるリバースプロキシ環境を構築しています。今回は、このリバースプロキシ環境の作り方を解説します。 リバースプロキシとは リバースプロキシとはプロキシサーバの一種で、クライアントに対してファイアウォールの中にあり外部のネットワークから直接アクセスできないサーバへのアクセスを提供する機能です。これ以外にも、複数のバックエンドサーバを用意して負荷分散をしたり、プロキシサーバでキャッシュを併用することでバックエンドサーバへのリクエストを減らしたりと、様々なシーンで活用できるため、大規模なウェブサイトを構築
websec-room.com - websec room リソースおよび情報
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
オンラインマニュアル ページ移転のお知らせ:ミドルウェア:ソフトウェア:日立
日立オープンミドルウェアは、お客様の既存の財産を生かしながら、高い信頼性と柔軟性、自律性を備えたITシステムの実現を支えています。
負荷分散環境でブラウザキャッシュが効かないときは - ETagの解説 - : DSAS開発者の部屋
ETag とはなんぞやというと、Apache が返すレスポンスヘッダのひとつで、 HTTP/1.1 200 OK Date: Mon, 24 Jul 2006 06:18:07 GMT Server: Apache Last-Modified: Wed, 13 Apr 2005 21:48:55 GMT ETag: "3b-60273fc0" ←これ★ Accept-Ranges: bytes Content-Length: 59 Connection: close Content-Type: text/html オブジェクトに付与される属性です。 で、何に使うかというと、ブラウザのキャッシュ管理に使われます。 一度、http://example.jp/index.html にアクセスした後でもう一度(リロードとかで) アクセスすると、ブラウザは最初のリクエストのときに得た ETag の値
ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策
既に報道されているように、ロリポップ!レンタルサーバーに対する改ざん攻撃により、被害を受けたユーザー数は8428件にのぼるということです。ここまで影響が大きくなった原因は、報道によると、(1)「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされた、(2)パーミッション設定の不備を悪用されて被害が拡大した、ということのようです。 29日夜の時点では、攻撃者の改ざん手法について「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされて「wp-config.phpの」の設定情報が抜き出されたと説明していたが、30日午後7時過ぎの説明で、この脆弱性が侵入経路となって同社のパーミッション設定の不備を悪用されたことが原因だったことを明らかにした。 「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備
Mac OS X Mountain Lionにシステム環境設定の「共有」パネルに Web 共有のオプションが入っていない件について - Androidはワンツーパンチ 三歩進んで二歩下がる
最近MacのOS をMountain Lionにアップデートいたしました。時々固まっています(;^ω^) 今日は自分のローカル環境にサーバーを準備しようと思ったのですが、「Web共有」というオプションが 見付かりませんでした。 ←ここの左側のオプションに以前はあったはず http://support.apple.com/kb/HT5230?viewlocale=ja_JP こちらによると、 「OS X Mountain Lion では、システム環境設定の「共有」パネルに Web 共有のオプションが含まれていません。Mountain Lion には、オープンソースの Web サーバ「Apache HTTP Server」が含まれています。Apache を有効にする方法および使い方については、http://httpd.apache.org を参照してください。」 だそうです。 「OS X Se
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://blog.uu59.org/2012-02-18-prefork-mpm-with-php.html
http://karakani.com/blog/2012/03/24/apache%E3%81%A7%E4%BD%BF%E3%81%86%E3%83%A2%E3%82%B8%E3%83%A5%E3%83%BC%E3%83%AB%E3%80%81%E4%BD%BF%E3%82%8F%E3%81%AA%E3%81%84%E3%83%A2%E3%82%B8%E3%83%A5%E3%83%BC%E3%83%AB/
共用サーバにおけるSymlink Attacksによる攻撃とその対策について - さくらインターネット創業日記
