PostgreSQLは、pg_hba.confやpostgresql.confなどのtcpip_socket、listen_addressesパラメータによって接続することのできるクライアントを制限することが可能です。 インターネット上のPostgreSQLサーバーでは、localhostや特定のIPアドレスからしか接続を受け付けないようにしていることも多いでしょう。 その場合でも、PostgreSQLに接続できるホストにSSHで接続することができれば、SSHポートフォワーディングによってそれ以外のクライアントからでもStatus Shower for PostgreSQLやSQL Shower for PostgreSQLなどを利用することができます。 ここでは、PoderosaのSSHポートフォワーディングプラグインを利用して、Status/SQL Shower for Post
21.7. ssh ポートフォワード機能の活用ssh のポートフォワード機能を利用すると、ローカルホストの任意のポートに送信したデータを、リモートホストの特定ポートへ転送することができます。また、SSH で暗号化した通信経路の中に、他のセッションを潜り込ませることができるため、POP のように暗号化されていない通信を暗号化できるメリットもあります。メールの受信に SSH のポートフォワード機能を利用した例を図にすると、以下のようになります。 POP サーバー mail.example.com からメールを受信するには、メールクライアントの設定で POP サーバーのホスト名 mail.example.com と POP が使用するポート番号 110 を指定しているはずです。そこで、ローカルホストの任意のポートに接続すると、SSH で暗号化された経路を介して mail.example.com
概要 ポートフォワーディング(port forwarding)とは、IPネットワーク上のある機器が、自らのIPアドレスのTCPやUDPの特定のポート番号への通信を、別のアドレスの特定のポートへ自動的に転送すること。また、ネットワーク機器などの持つそのような機能。 ポートフォワーディングを設定されたポートは、対応付けられた別のアドレス・ポートの窓口として機能し、外部との間で送受信されるパケットはすべて自動的に転送される。SSHの機能を用いて外部の機器との間で暗号化された通信経路を用意することを特にSSHポートフォワーディングという。 ポートフォワーディングはインターネットとLAN(構内ネットワーク)の境界にあるルータやゲートウェイが、LAN側のアドレスしか持たない内部のコンピュータの特定のポートへ外部から着信できるようにするために用いられることが多い。これにより、LAN側のコンピュータにサー
インターネットでどんなサイトを閲覧したかがすべて記録される。初めて訪れたサイトなのに「あなたにはこんな商品がおすすめ」と宣伝される――。そんなことを可能にする技術の利用に、総務省がゴーサインを出した。ネット接続業者(プロバイダー)側で、情報を丸ごと読み取る技術を広告に使う手法だ。だが、個人の行動記録が丸裸にされて本人の思わぬ形で流出してしまう危険もある。業者は今後、流出を防ぐ指針作りに入る。 この技術は「ディープ・パケット・インスペクション(DPI)」。プロバイダーのコンピューター(サーバー)に専用の機械を接続し、利用者がサーバーとの間でやりとりする情報を読み取る。どんなサイトを閲覧し、何を買ったか、どんな言葉で検索をかけたかといった情報を分析し、利用者の趣味や志向に応じた広告を配信する。 DPIは従来技術に比べてより多くのデータを集められるため、こうした「行動ターゲティング広告」に利
Webアプリにおける11の脆弱性の常識と対策:Webアプリの常識をJSPとStrutsで身につける(11)(1/4 ページ) 本連載は、JSP/サーブレット+StrutsのWebアプリケーション開発を通じて、Java言語以外(PHPやASP.NET、Ruby on Railsなど)の開発にも通用するWebアプリケーション全般の広い知識・常識を身に付けるための連載です 【2013年2月25日】編集部より、おわびと訂正のお知らせ 本稿において読者の皆さまより多数のご指摘をいただきまして、誠にありがとうございます。編集部であらためて調べた結果、間違いを把握し、あらためて修正版を掲載させていただきます。この度は、長期にわたり誤った内容を掲載したので、読者の皆さまに多大なご迷惑をお掛けしたした点をおわび申し上げます。 通常、記事に間違いがあった場合には、筆者確認後に修正版を掲載するのですが、今回の場
先日、AmebaなうがCSRFという非常にポピュラーな脆弱性を披露したかと思ったら、ここ数日はセブンネットショッピングでXSSの脆弱性と、ID推測による他ユーザの個人情報閲覧の問題が発生しているという噂が流れています。 ユーザの情報を預かっておきながら、基本的なセキュリティの対策もできていないというのは、銀行に例えるなら、お金を預けようとした時に「お金は預かります。ちゃんと保管します。でも警備はあまりしないので盗まれたらスイマセン」と言われるようなものだと思う。 警備に穴があったというのではなく、まともに警備してませんでした、というのはさすがにありえないことです。 そこで、野良WEBプログラマである私が知っている脆弱性を列挙してみた。 私はプログラマであってセキュリティの専門家ではないです。しかも今年の春辺りからずっと外向けのWEBプログラムは組んでません。 その人間が知っているものを並べ
Webアプリケーションのセキュリティホールが注目を浴びたことから、セキュリティを意識した開発の必要性が高まってきている。今後の流れとして、セキュリティ上満たすべき項目が要件定義の段階から組み込まれるケースが増えていくことが予想されるが、実際の開発現場においてはセキュリティホールをふさぐための実装方法が分からないという声も多いのではないだろうか。 そういった開発者の負担を少しでも軽くすることができるように、本連載ではJavaにおけるWebアプリケーション開発時に最もよく利用されているStrutsフレームワークの実装に踏み込んで、セキュリティ上注意すべきポイントを解説していきたい。なお、本連載ではStruts 1.2.8を対象として解説を行っていくが、すでにStrutsを利用したWebアプリケーション開発を行っている開発者をターゲットとしているため、Strutsの使用方法、各機能の詳細な説明な
「HTTPSの証明書エラーが出るサイトで個人情報などを入れては駄目」とネトランでも常日頃書いているが、「なぜ」という疑問を持っている人もいるのではないだろうか。「HTTPSのサイトを利用して個人情報を盗み出す手口」の概要が分かるツール「burp proxy」で、情報窃盗攻撃の仕組みと、HTTPSエラーの怖さを紹介する。 「HTTPSとは」「証明書エラーとは」、という話を長々と書くスペースがないので簡潔にまとめる。 HTTPSのサイトで行われている情報は暗号化されており、ネットワーク盗聴では盗まれない通信相手が本物かどうか判定するために証明書が必要この二点から素直に「証明書エラーサイトでは個人情報を入れないようにしよう」と思える人ならそれで良いのだが、以下のような疑問が出るかもしれない(というか出る人の方がむしろ正しい)。 「偽物」とは例えばいわゆるフィッシングサイトだが、「フィッシングサイ
XSS (Cross Site Scripting) Cheat Sheet Esp: for filter evasion By RSnake Note from the author: XSS is Cross Site Scripting. If you don't know how XSS (Cross Site Scripting) works, this page probably won't help you. This page is for people who already understand the basics of XSS attacks but want a deep understanding of the nuances regarding filter evasion. This page will also not show you how to
「mixi」上で、あるURLをクリックすると「ぼくはまちちゃん!」という日記が勝手にアップされてしまうという現象が多発した。その原因はCSRFの脆弱性だ。 4月19日以降、ソーシャル・ネットワーキングサイトの「mixi」で、URLをクリックすると勝手に「ぼくはまちちゃん!」というタイトルで日記がアップされてしまうという現象が多発した。 サービスを提供しているイー・マーキュリーでは、この現象について一応の対処は取った模様だ。ただ、技術的な詳細については「ハッキングでもなく、サーバ攻撃やウイルスでもない。ID盗難などの被害は発生していない」という回答のみで、「それ以上はコメントできない」と述べるにとどまっている。 だがある意味、このコメントは正しい。「はまちちゃん」現象は、ウイルスなどの仕業ではないからだ。 正規ユーザーの操作で「意図しない」結果に URLをクリックすると勝手に日記が書き込まれ
表題のとおりですが、 # PHP7.4.3(Ubuntu 20.04)にxdebugをインストール apt install php-xdebug phpenmod xdebug systemctl restart apache2 # xdebugを無効にする phpdismod xdebug systemctl restart apache2 ApacheでPHPのページにアクセスするとsegmentation faultになる。 [Thu Dec 16 19:32:08.276046 2021] [core:notice] [pid 421823] AH00051: child pid 421937 exit signal Segmentation fault (11), possible coredump in /etc/apache2CLIも同じで、gdbで見ると以下のような感じです
新たなXSS(CSS)脆弱性、EBCSS 2006-03-30 かなりヤバめなXSS的攻撃方法が見つかりました。詳細は以下のリンク先をご覧下さい。 文字コード(SJIS)とHTMLエンコードとCross-Site Scriptingの微妙な関係 文字コードとHTMLエンコードとCross-Site Scriptingの微妙な関係 (EUCの場合、UTF-8の場合) 何がヤバいのかというと、この攻撃方法に対する根本的対策がほとんどのサイトで行われていないと思われるからです。 今までCross-Site Scripting脆弱性への対策はHTMLで使われる文字列を実体参照に変換するのが基本でした。しかし、マルチバイト文字列の仕様を突いて半端な文字列を送信しクオート文字を無効化(escape)することで、実体参照に変換されていてもスクリプトの実行が可能なケースがあることが判明したのです。 ちなみ
※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 最近Webアプリケーションに存在するセキュリティホールが注目を浴びている。その中でも「クロスサイトスクリプティング(XSS)」と呼ばれる脆弱性が有名で、「特集 クロスサイトスクリプティング対策の基本」という記事で詳細に解説した。しかし、Webアプリケーションに潜む脆弱性はXSSだけではなく、XSSよりもはるかに危険性の高いセキュリティーホールが存在する。 本稿では、Webアプリケーシ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く