アクセスログの改ざんと検出方法
ログ監視ツール ~ LogWatch 先述のless、tail、grepなどを使えば、ほとんどのログ調査は事足りる。しかし、実際は管理者が24時間常時ログを監視するということは、まず不可能に近いだろう。そういったことを踏まえ、ここではログの監視を毎日定期的に行い、結果を加工してレポートしてくれるLogWatchを紹介する。 LogWatchは、Kirk Bauer氏が中心となって開発を行っているPerlで書かれたログ監視ツールで、Red Hat Linux 7.3ではLogWatchバージョン2.6が標準でインストールされ、1日1回ログのチェックを定期的に行っている。 LogWatchの入手とインストール (1) LogWatchのダウンロード LogWatchは、LogWatchのサイト(http://www.logwatch.org/)からダウンロードする。本稿では最新安定バージョンの
javascript - クリックジャック殺しなbookmarklet : 404 Blog Not Found
2009年03月05日02:30 カテゴリLightweight Languages javascript - クリックジャック殺しなbookmarklet 意外な盲点。 主要ブラウザすべてに影響する「クリックジャッキング」攻撃とは しかし、 クリックジャック - 素人がプログラミングを勉強するブログ FirefoxユーザはNoScriptを使うか、about:configからpermissions.default.subdocumentを3にしましょう。 というのはあまりに厳しく悲しい。対策しようは果たしてないのでしょうか? その結果が、こちら。 clickUnJack javascript:(function(d,u){var s=d.createElement('script');s.charset='UTF-8';s.src=u;d.body.appendChild(s)})(do
クリックジャッキングってこうですか? わかりません
↑ この透過されているiframeは、ブラウザの最前面に配置されています ※はてなにログインしていると、どのようにボタンが被っているのかわかりやすくなります
CSSXSSを改良した?手法でmixiのpost_keyを抜き取るデモを作りました - ?D of K:
IDを抜き取る方法が思いつかなかったので、「はまちちゃん」の書き込みの二年来の再来とはいきませんが、セキュリティーホールだと思うので、早めに書いておきます。(修正済みです) 実証コード http://k75.s321.xrea.com/cssxss/mixi.html パッチ済みのIE6でmixiにログインしていた場合、post_keyの取得を確認できると思います。勘違いだったらすみません。その際、僕のmixiのあしあとに残るのでその点のみ注意してください。 手法 CSSの読み込み いわゆるCSSXSSと同じようにlinkを使って、ファイルを読み込みます。旧来の手法では中括弧があることでCSSと誤認識させ、cssTextで取得しましたが、今回は文中に「}selector{property:」という文字列を埋め込んで、selectorに該当する要素のcurrentStyle.property
XSSはそのサイトを信頼している人が多いほど脅威になりうる - ぼくはまちちゃん!(Hatena)
はい! こんにちは! 今日は珍しくセキュリティについて一言です! タイトルにある通り、 XSSはそのサイトを信頼している人が多いほど脅威になりうる ってことなんだけど…。これだけだと、あたりまえっぽいよね。 まずXSS脆弱性ってなに? って人のために簡単に説明しちゃうと、これ サイトを作った人以外の人でも、好きなスクリプトを実行できちゃう状態 ってことなんだよね。 でもよく考えてみてほしい。 スクリプトが実行できる。へんなスクリプトが実行されちゃうかもしれないページ。 これって別に、「ふつうにスクリプトを許可されている、そこらへんのブログやホームページと同じ」じゃない? いや、微妙に違うかな。 違う点はひとつ。 スクリプトを埋め込めるのが「サイトの管理者オンリー」なのか「誰でも」なのかの違いがあるんだよね。 … じゃあ、「名もなきサイトの管理者」と「誰でも」の違いってなんだろう? なんだろ
まちがった自動ログイン処理
(Last Updated On: 2018年8月20日)問題:まちがった自動ログイン処理の解答です。このブログエントリは最近作られたアプリケーションでは「問題」にしたような実装は行われていないはず、と期待していたのですがあっさり期待を破られたのでブログに書きました。このブログの方が詳しく書いていますけが「Webアプリセキュリティ対策入門」にも正しい自動ログイン処理を書いています。 参考:自動ログイン以外に2要素認証も重要です。「今すぐできる、Webサイトへの2要素認証導入」こちらもどうぞ。HMACを利用した安全なAPIキーの送受信も参考にどうぞ。 間違った自動ログイン処理の問題点 まず間違った自動ログイン処理を実装しているコードの基本的な問題点を一つ一つ順番にリストアップします。 クッキーにランダム文字列以外の値を設定している クッキーにユーザ名が保存されている クッキーにパスワードが保
PHP/脆弱性リスト/メモ - yohgaki's wiki
なんだかやけに長い説明ばかり検索に引っかかったので書きました。 Linuxのローカル環境でDockerコンテナ内のXアプリ(GUIアプリ)を利用するには $ xhost localhost + を実行した後に $ docker run --rm --net host -e "DISPLAY" container_image_name x_app_binary_path とすれば良いです。 もっと読む SSHなどよく知られたサービスポートで何も対策せずにいると数えきらないくらいの攻撃リクエストが来ます。不必要なログを増やしてリソースを無駄にし、もし不用意なユーザーやシステムがあると攻撃に成功する場合もあります。 SshguardはC作られており、flex/bisonのパーサールールを足せば拡張できますがカスタム版をメンテナンスするのも面倒です。必要なルールを足してプルリクエストを送ってもマー
【スクリプトインジェクション対策11】エスケープしてはならないデータ以外はすべてエスケープする | gihyo.jp
Webシステムに限らず、エスケープ処理はセキュリティ対策の基本です。すべての外部システムへの出力は、出力先の外部システムが誤作動しないよう適切にエスケープしてから出力しなければなりません。 Webアプリケーションにおけるエスケープ処理というとHTMLとSQLのエスケープ処理が例として挙げられますが、それは一部にしかすぎません。 Webアプリケーションから見た外部システムの一例 ブラウザ ブラウザのプラグイン ブラウザのスクリプト実行環境 データベース メールサーバ Webサービス ディレクトリサーバ ファイルシステム コマンド実行環境 外部システムによって処理されるすべてのファイル(XMLファイル、YAMLファイルなど) ライブラリ関数 エスケープ処理が必要なデータだけエスケープするのではなく、エスケープしてはならないデータ以外はすべてエスケープするようにします。よく見かける間違いはデータ
【スクリプトインジェクション対策06】入力文字列の文字エンコーディングを検証する | gihyo.jp
筆者はここ数年、ブラウザからの入力は指定された通りの正しい文字エンコーディングでエンコードされているか検証しなければならない、と解説しています。手前味噌ですが2006年3月に出版した「Webアプリセキュリティ対策入門」(技術評論社)でも、入力文字列のエンコーディングが妥当であるか検証しなければならない、と解説しています。 残念なことに最近になっても不正な文字エンコーディングが入力される可能性を考慮していないことによる脆弱性が、PHP本体自体やPHPも利用しているライブラリlibxml2に発見されました。不正な文字エンコーディングはデータが正しくないだけでなく、スクリプトインジェクションやSQLインジェクション、DoS攻撃等を可能にします。 マルチバイト文字エンコーディングは最初または前方に配置されたバイトで1文字が何バイトで構成されるか決まります。この性質を利用してマルチバイト文字列の開
Webデザイナが知っておくべきPHPセキュリティ - builder by ZDNet Japan
MSセキュリティ担当者が紹介 マルチクラウド環境の保護を追求する Microsoft Defender for Cloud 本当のデータ活用できていますか? データドリブンがあたりまえと言われる今あらためて考えたいデータ活用のありかた Kubernetes活用の最適解とは? 今、注目のコンテナを活用した柔軟なIT基盤 運用、管理の課題を解決しメリットを最大化 DNSを守り、DNSで守る 高度・巧妙化し危険度を増すサイバーリスク いま考えるべきモダンセキュリティのあり方 50年の経験を持つアイネットが提供 ユーザー企業の使いやすさを第一に考えた ワンストップで使えるマネージドクラウド AWSとAzureを更に使いこなそう イマドキのマルチクラウドセキュリティを MS担当者が徹底解説 大事なのは”仕事の段取り” 幅広い業務を任されているからこそできる ひとり情シス流の業務改善術 いま求められる
「ウェブサイト運営者のための脆弱性対応ガイド」などを公開:IPA 独立行政法人 情報処理推進機構
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原武平太)は、ソフトウェア製品やウェブサイトのセキュリティ対策などを推進するため、「ウェブサイト運営者のための脆弱性対応ガイド」を含む報告書をとりまとめ、2008年2月28日(木)より、IPAのウェブサイトで公開しました。 本ガイドは、「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居範久 中央大学教授)において、昨年7月から行われた検討の成果です。 IPAでは、IPAから脆弱性に関して通知を行ったウェブサイト運営者や、情報システムの構築事業者、セキュリティに関する有識者など16組織に対して、昨年9月から本年1月までにヒアリングを行い、ウェブサイトの脆弱性対策を促進する上での課題を抽出しました。 このヒアリングにおいて、一部のウェブサイト運営者は情報システムの脆弱性対策について、ウイルス・不正アクセス対策などの他の情報セ
MOONGIFT: » Windowsのプロダクトキーリカバリー「RockXP」:オープンソースを毎日紹介
プロダクトキーやシリアル番号は良く紛失する。紙やシールなのが問題だ。CDケースが邪魔で、どこかにしまってしまったりすると、再インストールする手だてがなくなってしまう。 そこでリカバリーツールを使ってみよう。インストールの手間なく使えるこちらが便利だ。 今回紹介するフリーウェアはRockXP、Windows XPのプロダクトキーをリカバリーするソフトウェアだ。 RockXPはWindowsやOfficeなどのMicrosoft製品のプロダクトキーやシリアル番号を簡単に吸い出してくれる。これをメモしておけば再インストールも簡単にできる。 さらにキーを変更することや、アクティベーションファイルをバックアップしておくこともできる。他にもインターネット接続設定をバックアップすることや、ユーザ一覧とパスワードのハッシュ値を表示する、.NET PassportのID/PWを表示すると言ったこともできる。
開発者のための正しいCSRF対策
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
Ajaxの特徴に潜むリスクをサンプルアプリで確認しよう ― @IT
Ajaxのセキュリティ対策状況 Ajaxのセキュリティは、各ブラウザのAjax実装である「XMLHttpRequest」で対策が行われています。それらのうち、今回は「SSLによる暗号通信」と「クロスドメインの制限」についてご紹介したいと思います。 SSLによる暗号通信 通常のWebページへのアクセスと同様、AjaxにおいてもSSLを利用した暗号通信を行い、ネットワーク上のデータ盗聴に対して備えることができます。Ajaxのプログラミング上では、URIのプロトコル「HTTP」を「HTTPS」に変更するのみでSSLによる暗号通信となります。しかし、Ajaxアプリケーションのロード後に、プロトコルを「HTTP」から「HTTPS」、もしくは「HTTPS」から「HTTP」へといった変更はできません。 クロスドメインの制限 Ajaxアプリケーションは、A)HTML部/B)JavaScript部/C)XM
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
とくまるひろしのSession Fixation攻撃入門 - ockeghem's blog
IBM Developer
PHPでのセキュリティ対策についてのメモ - Liner Note
あなたのWordpress(ワードプレス)をより安全に作るための6つの方法*ホームページを作る人のネタ帳
