今夜つける HTTPレスポンスヘッダー (セキュリティ編) - うさぎ文学日記
Webサーバーがレスポンスを発行する際に、HTTPレスポンスヘッダーに付けるとセキュリティレベルの向上につながるヘッダーフィールドを紹介します。 囲み内は推奨する設定の一例です。ブラウザによっては対応していないヘッダーフィールドやオプションなどもありますので、クライアントの環境によっては機能しないこともあります。 X-Frame-Options ブラウザが frame または iframe で指定したフレーム内にページを表示することを制御するためのヘッダーフィールドです。主にクリックジャッキングという攻撃を防ぐために用いられます。 X-Frame-Options: SAMEORIGIN DENY フレーム内にページを表示することを禁止(同じサイト内であっても禁止です) SAMEORIGIN 自分自身と生成元が同じフレームの場合にページを表示することを許可(他のサイトに禁止したい場合は主にこ
クレジットカードのセキュリティコードの保存は禁止 - うさぎ文学日記
私も海外でよく使っていたイモトのWi-Fi「GLOBALDATA」のWebサーバーに不正アクセスがあり、調査の結果最大146,701件のクレジットカード情報を含む情報漏えいがあったことが判明しています。 不正アクセスによるお客様情報流出に関するお知らせとお詫び | エクスコムグローバル株式会社|XCom Global, Inc. (Japan) リリースによると漏えいした情報は下記の通りと、この情報が揃えば大半のサイトのオンライン決済で利用できるでしょう。 カード名義人名 カード番号 カード有効期限 セキュリティコード お申込者住所 この中の「セキュリティコード」ですが、これはVISAやMasterでは「CVV」や「CV2」などと呼ばれている不正使用防止のための番号で、カードの裏面などに記載されているものです。 この「セキュリティコード」はカードに記載された番号を確認することで、カードの実
Nmap 6 Released! 大きな6つの改善点 - うさぎ文学日記
Nmap の新バージョン Nmap 6 がリリースされました。メジャーバージョンアップで改善された6つのポイントは下記の通りです。 NSE (Nmap Scripting Engine) の機能強化 スクリプトがNmap 5 の59個に比べて、6 は348個と大幅に増えています。 Webスキャニング機能強化 より効率の良いWebスパイダーやブルートフォース認証クラック、SSL、HTTPパイプライン、キャッシュなど、Web時代に合わせた進化だそうです。 Full IPv6 サポート IPv6 をフルサポートしました。 パケットジェネレーター Nping 搭載 Nping というさまざまなプロトコルに対応したパケットジェネレーターが搭載されました。ヘッダーの上書きやレスポンス分析などの機能があります。 Zenmap GUI の機能強化 GUI画面と結果表示の改善が行われています。 スキャン速度
資料公開『自分でできるWebアプリケーション脆弱性診断』 - デブサミ2010 - うさぎ文学日記
2010年2月19日に東京・目黒の雅叙園で開催された翔泳社主催の「世界は変わった。開発の現場はどうか? Developers Summit 2010」(通称:デブサミ)で、私が話した『自分でできるWebアプリケーション脆弱性診断』の資料をSlideShareにて公開しています。 自分でできるWebアプリケーション脆弱性診断 - デブサミ2010 当日はスライド資料に加えて、仕様に基づいた診断の例として、補助ツールにBurp Suiteと、やられWebアプリケーションにBadstore.netを使ったデモを行いました。簡単に再現できると思いますので、是非お試し下さい。 本セミナーの内容を実際にツールを使って診断技術を習得できる実践編も開催します。 サイバーディフェンス研究所主催で「セキュリティ人材育成セミナー 〜 Webアプリケーション診断編 〜」を3月29日(月)、30日(火)の2日コース
ZIPの暗号化アルゴリズムについて - うさぎ文学日記
PKWAREの仕様書によると、標準では「traditional PKWARE encryption」という独自の暗号化アルゴリズムが使われているみたいです。 ただし仕様書には「traditional PKWARE encryptionは標準だけど、あまりセキュリティを要求しない状況か、互換性を重視する場合に使おう」と書かれています。 仕様書的にはセキュリティを強化したい場合には、RC2、RC4、DES、3DES、AES、Blowfish、Twofishなどを暗号化に使うことができるようですが、ZIPファイルを解凍できるフリーソフトなどがこれらの暗号化アルゴリズムに対応しているとは限らないとのこと。 パスワード付きZIPファイルを必須としている企業の中で、暗号化アルゴリズムについてまで指定しているところはどれぐらいあるのでしょうか。 それよりパスワードは次のメールで送りますとか、電話番号の下
資料公開「なぜ、御社のWebサイトが攻撃されるのか。そして、守るためには何をすればよいのか。」 - うさぎ文学日記
第01回まっちゃ445勉強会で話した「なぜ、御社のWebサイトが攻撃されるのか。そして、守るためには何をすればよいのか。」の資料を公開しました。 「安全な車」ならみんな何となくわかるけど、「安全なWeb」ってみんなよくわからないよね。 という話から始めて、最近のWebをターゲットとした自動ツールによる無差別攻撃の現状や、被害に遭うWebサイトのほとんどはバグを抱えているからだということ、そして守るためには要件と設計が必要な理由などを説明しています。 ダウンロードはこちら(PDFファイル:868 KB) 第02回には竹迫さん、徳丸さんが登場!引き続き第2回、第3回も楽しみにしています。
うさぎ文学日記 - 御社のWebサイトにXSS (クロスサイトスクリプティング)の脆弱性があると何が問題なのか
技術に明るくない人でも、SQLインジェクションは、データベースをこねこねされるということで、すぐに「これはイケナイ!」と反応する人が多いように思います。しかし、XSSはどうも軽く見られている気がしています。XSS (クロスサイトスクリプティング)って名前がよくないのか? XSSで検索すると原理や対策方法についての言及ばかりがヒットするので、被害に遭うユーザーや運営者側向けに簡単に書きます。どこかにもっと良い説明や補足があれば教えて頂ければ幸いです。XSS脆弱性を放置していた人が、対策を施すよう腰を上げていただければと思います。 ■ XSSって何ですか? XSS (Cross Site Scripting)は、Webアプリケーションのバグによって起こる事象*1でセキュリティ上の問題があります。HTMLで表示する文字列の中に、悪意のあるJavaScriptやHTMLタグなどを混入させることがで
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ワイルドカードDNS - xip.io - うさぎ文学日記