Introduction ModSecurityは、オープンソースの侵入検出およびウェブアプリケーション用防止エンジンです。それはウェブサーバへ埋め込まれて動作します。強 力な傘のように振舞い-アプリケーションを攻撃から遮断します。ModSecurityはWEBサーバーへのWEB攻撃の処理能力を増加し統合します。 言及する価値があるその特徴は次のとおりです: Request filtering; 受信と共に、ウェブサーバーあるいは他のモジュールによって扱われる前に、入って来 た リクエストが分析されます。 Anti-evasion techniques;分析が回避テクニックと戦う前に、パスとパラメータが標準化されます。 Understanding of the HTTP protocol; エンジンはHTTPを理解します。非常に特有なきめ細かいフィルタリングを実行します。 POST
前書き 統合 Windows 認証とは,ドメインの認証情報を使って HTTP サーバに認証してもらう方式です。Windows クライアントがドメインにログインしていれば,認証ダイアログが出現することなく自動的に認証されます。統合 Windows 認証には以下の2通りがあります。 NTLM 認証 SPNEGO 認証(Active Directory 環境下;すなわち Kerberos GSSAPI を利用) 今回はわけあって NTLM 認証を扱います。 Apache on Unix*1 で NTLM 認証をサポートするものには,有名なもので以下の物があります。 mod_ntlm Unofficial mod_ntlm modification mod_auth_ntlm_winbind 前者 2 つはほぼ同じもの(2 つめが改良版で Apache 2.2 にも対応している)ですが,後者の m
【目次】 はじめに 1.改ざん件数推移 − 全体 2.改ざん件数推移 − OS 別比較 3.2003 年〜2005 年の月毎改ざん件数推移 − Apache, IIS 比較 4.攻撃対象となるサイトの傾向分析 付録:LAMP スタックと.net,IIS の管理工数比較表 (1〜4…Zone-H 製作 / 付録…ScanDailyExpress 編集部製作) 【本文抜粋】 Web 開発者やセキュリティ専門家、政策決定者などの間では、オープンソースの安全神話という考え方が実測に基づいた議論として必ずしも定着していない。 この報告書は、世界的なWeb 改ざんアーカイブを保有するハッキングコミュニティ、Zone-H の過去5 年間の蓄積された統計資料を基に、世界規模で広まりつつあるセキュリティ優位性の“オープンソフトウェア神話”に一石を投じる試みである。(Zone-H ジャパン
筆者は最近,Apache HTTPサーバーに対するサービス拒否攻撃を防御するWebベースのセキュリティ・ツール「mod_evasive」を使い始めた。mod_evasiveは特定の挙動を探してそれをブロックするモジュールである。 mod_evasiveは,筆者が昨年の12月に紹介した「Suhosin」に似ている(関連記事:PHPの「守護神」Suhosin)。SuhosinはPHPスクリプティング・エンジンの安全性を大幅に高めるパッチである。Suhosinは,害を及ぼす危険性を持つありとあらゆるWebベースのコンテンツを検出し,それらがPHPエンジンを越えてシステムやネットワークに到達するのを防ぐ上で役に立つ。 mod_evasiveが機能する仕組みを説明しよう。mod_evasiveはまずURLリクエストをApacheサーバーに送信するIPアドレスの記録を取る。その後,あらかじめ設定した許
Apacheにmod_deflateを組み込み、サーバーからの転送量がどのように変わるかを調べてみました。 mod_deflateとは、クライアントにデータを送る前にサーバー側でコンテンツを圧縮してから送信する機能のことです。 Apache モジュール mod_deflateについて mod_deflate モジュールは DEFLATE 出力フィルタを提供します。これはサーバからの出力を、ネットワークを 通してクライアントに送る前に圧縮することを可能にします。 先週の金曜日にmod_deflate機能を有効にしました。 その前後の転送量は以下のグラフのようになりました。 上のグラフから、データを圧縮する前と比べて、2/3近く転送量が軽減されたことがわかりました。 当然、クライアントにデータを送る前にサーバー側で圧縮処理を行っているため、CPUの負荷は多少上がっています。 ですが、負荷上昇に
2006/11/10 ModSecurity 2.0 with Ivan Ristic (1/3) ModSecurity 2.0についてIvan Ristic (アイバン・リスティク)にインタビューした記事"ModSecurity 2.0 with Ivan Ristic"を訳してみます。拙訳ですが、まず1/3を。 ModSecurityはApacheのモジュールとして動作するオープンソースのWebアプリケーション・ファイアウォールで, バージョン2.0では多くの新しい機能と改良点を提供している. Federico BiancuzziがIvan Risticに新しいロギングシステム, イベント追跡, 相関分析, AJAX/AFLAXアプリケーションのフィルタリングやクローズなソース・アプリケーションのためのジャスト・イン・タイム・パッチについて話を聞くためにインタビューをした. まず自己
mod_rewriteとは Apacheのモジュールのひとつで、アクセスURLを正規表現で書き換えることができます。リダイレクト処理を行うのに便利なモジュールです。 モジュールの解説ドキュメントによれば URLを操作するためのスイス製のアーミーナイフ と例えられるほど、非常に複雑な処理を行えます。 URLからURLへ、同一サーバ内URLだろうが、別サーバURLだろうが問いません。 引数を含む動的URLを通常のHTMLファイルのような静的URLに見せることも可能です。 素晴らしく詳細なマニュアルもありますが、機能が多いだけに情報量が多く読むのも面倒だと思いますので、ここでは、mod_rewriteを使用すると便利な場面を想定して具体的に解説してみたいと思います。 mod_rewriteの基本 ひとまず、mod_rewriteはApacheのモジュールです。インストールされていなければ、サーバ
Introduction ModSecurityは、オープンソースの侵入検出およびウェブアプリケーション用の防御エンジンです。同様にアプリケーションファイヤーウォール と呼ぶ事ができます。それはウェブサーバへ埋め込まれて動作します。強 力な傘のように振舞い-アプリケーションを攻撃から遮断します。ModSecurityはWEBサーバーへのWEB攻撃の処理能力を増加し統合します。 言及する価値があるその特徴は次のとおりです: Request filtering; 受信と共に、ウェブサーバーあるいは他のモジュールによって扱われる前に、入って来 た リクエストが分析されます。(厳密に言うと、いくつかのリクエストはModsecurityに達する前に終わっていますが組込モード動作においては不可避 です) Anti-evasion techniques;分析が回避テクニックと戦う前に、パスとパラメ
一体、Webサイトを持たない組織は今どれくらいあるでしょうか。 Webサーバを自前で持つ、ホスティングサービスを利用する、など運用形態はさまざまですが、Webサイトを持たない組織はほとんどないと思える程に Webは普及しています。 ファイアウォールはほとんどの組織で導入済みであり、多くのWebサーバはファイアウォールの中で運用されているのが一般的です。 しかしながら、最も普及しているファイアウォールはIPアドレス、ポートレベルでのフィルタリングです。この方法でのフィルタリングでは、許可していないサービスが持つ脆弱性を狙った攻撃を阻止できるため有用ではありますが、HTTPを許可している場合Web自体への攻撃に対して無力です。一方で、HTTPを不許可にした場合にはWebサイトへアクセスできなくなってしまうため本来の目的を達成できません。しかもここ数年、Webサイトを狙ったワームや不正アクセスは
Internet Week 2005で行ったチュートリアル「自信を持ってApacheを操るために」で使用したスライド資料をPDFで置いておきます。資料だけ見ると役に立つところが少ない、というかワケワカメですな。 Internet WeekのWebサイトでも後々資料の配布とビデオ配信される予定ですが、少し時間がかかると思うので先行してこちらに置いておきます。 T16:自信を持ってApacheを操るために 〜内部構造からたどるWebサーバ設定のキモ (PDF 800Kbyte) チュートリアルの概要についてはInternet Week 2005 Webサイトのプログラム詳細をご覧ください。当日お越しいただいた皆様、ありがとうございました。
ローカルがxamppで、本番サーバがlinuxなど、同じソースコードを使うが、環境によってPHPのinclude_pathが変わったり接続先DBのDSNが変わったりする場合、結構困る事が多い。 ftpでファイルを一個一個アップしてるならまだしもsubversionで一括svn upとかやってる場合はそれぞれのファイルまで 書き換わってしまうので厄介である。FTPだってうっかり上書きしたら目も当てられない。 そこで、この問題を解決するため、環境に応じてPHPの挙動を変更する方法。 まず.htaccessでinclude_pathやその他のphpの挙動にかかわる設定を変更する xamppのインストールバッチ(C:\xampp\Program Files\xampp\apache\apache_installservice.bat)を書き換える bin\apache -k install -D
【教えてくん】コミュニティーなのです。 なんかニュースとかあったらここに書こうかと思ってますよ。とりあえず、おいらのブログ apacheでロードバランサーの設定メモ : ひろゆき@オープンSNS ひろゆき@オープンSNS (ひろゆき@オープンSNS) 投稿者, @ 2006-11-14 05:26:00 apacheでロードバランサーの設定メモ Livejournalの本家も使っているperlbalを入れてみるも、 秒間100アクセスを超えると突然死することあるという不具合の原因が掴みきれなかったので諦める。 ついでなので、ちょっと試してみたいと思っていた、 apacheのソフトウェアロードバランサーを試してみる、、、とは言っても、 複数のサーバがないので、まだ実用は出来ないんだけど、 1行増やすだけで対応できるはずなので設定だけ、、、 apache2.23をを下記でconfigure .
DSAS の特徴の一つに,複数のサービスを同じサーバ群で運用する,というのがあります.DSAS は Web サーバだけでも数台〜数十台で構成されますが,これらのサーバは同時に複数のコンテンツのサービスを受け持っています.つまり,A のサーバでは a と b のサービスを動かし,B のサーバでは b と c のサービスを動かす,といった具合です.こうすることで,コンテンツ毎に異なる負荷傾向をならすことができ,突発的な負荷の増大に対しても,速やかな処理能力の増強が可能になります.ただし,問題が一つあります. ログには,時として個人情報につながる情報が記録されます.ですので,コンテンツのログは担当者以外が読めてはいけません.一方,通常はコンテンツ a と b ではその担当者が,そして時には担当部署もが異なります.つまり,コンテンツ a の担当者が,b のログを読めるのは読めてはいけない,というこ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く