不要なサービスの停止こそ管理の第一歩
サーバ管理者の多くは、自分の運用するサーバに対して、第一にサービスが停止しないこと、そして第二に不正侵入されないことを願うだろう。特にここ数年は、不正侵入の事例が多く報告されていることから、いま一度サーバのセキュリティを見直し(再点検し)たいと思っている読者も中にはいると思う。 そうした場合、OSのリプレースから行い、セキュリティを考慮した設定を行うのが望ましい。しかし実際は、顧客などにサービスを提供したり基幹サーバとして24時間フル稼働している以上、そうやすやすと止めるわけにはいかないのが現実だ。もちろんサーバの冗長化を行っていればその問題はクリアされるが、ほとんどの場合、予算などの関係ですべてのサーバがそのような構成を取ることはできないだろう。 本連載では、現行動作しているUNIXサーバを対象に、稼働サービスの停止を最小限に抑えつつ、セキュリティを向上・維持するための一連の設定やツール
それ Unicode で
UTF-7 を使ってスクリプトを記述 +ADw-SCRIPT+AD4-alert(\'XSS\');+ADw-+AC8-SCRIPT+AD4- IE は、文字エンコーディングが不明で UTF-7 っぽい文字列があれば、自動判別で UTF-7 となる。
本当に怖い「パスワード破り」:ITpro
パスワードを破ってFTPサーバーやSSHサーバーに不正侵入しようとする攻撃が後を絶たない。IBM ISSのセキュリティオペレーションセンター(SOC)でも多数検知している。本稿ではパスワード解析の脅威を再認識していただくために,ハニーポット[注1]を使った調査結果を基に,その実際の手口を解説したい。 注1 ハニーポットとは,攻撃者やワームなどをおびき寄せ,侵入後にどんな行動をとるかを監視・観察するためのシステムのこと(用語解説)。今回使用したハニーポット環境では,侵入した攻撃者が悪用できないようにアクセス制限を施し,外部への不正なパケットを制御した。 侵入後の振る舞い ハニーポットによる調査期間は2006年9月1日から9月25日。以下では,実際にパスワードを破られて侵入された事例を紹介する。 システム・ログを確認したところ,この事例では,SSHサービスに対する認証が特定のIPアドレスから3
sshのアタック対策=ポート番号変えるのも手っ取り早い
Ywcafe.net This Page Is Under Construction - Coming Soon! Why am I seeing this 'Under Construction' page? Related Searches: 10 Best Mutual Funds Contact Lens Credit Card Application song lyrics Online classifieds Trademark Free Notice Review our Privacy Policy Service Agreement Legal Notice Privacy Policy|Do Not Sell or Share My Personal Information
不審なプログラムがいないか確かめたい:ITpro
筆者のような心配性の人間は, 「ひょっとしたら,いつのまにか自分のパソコンで不審なプログラムが動いているのではないか」とついつい気になる。 ウイルス対策ソフトやパーソナル・ファイアウォールを使うといった基本的な対策をしていても,未知のウイルスやゼロ・デイ攻撃*に対しては歯が立たない。ネットワークにつないでいる限り,こうした危険は常につきまとう。 起動時の挙動や動作中プロセスを確認 あれこれ心配するだけでは何も解決しない。こういうときは,実際にパソコンを立ち上げる際にどんなプログラムやサービスが一緒に起動するようになっているかを調べたり,現在どんなプログラムが稼働しているのかをフリーソフトを使って確認するといい。 ここで紹介する「スタートアップチェッカー Ver 2」(図1)を使えばWindowsの立ち上げ時に一緒に起動する項目や稼働中のプログラム,サービスの状況をまとめて確認できる。調べた
開発者のための正しいCSRF対策
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
情報処理推進機構:セキュリティセンター:情報セキュリティ対策実践情報
サイトにおけるシステム管理者/ネットワーク管理者およびシステムインテグレータのエンジニアを対象に、対策や資料をまとめています。
fladdict.net blog: MIXIを使った、トラフィックの個人追跡システム
というのが可能だと考え付いて、ちょっと愕然とした。 自分のサイトに、隠しiframeでMIXIの自ページを読み込ませておくの。 そうすると、自分のサイトを訪れたログイン中のMIXI会員は、足跡がついちゃうの。あとは定期的に足跡キャッシュする。誰がウチのサイトを見てるかバレバレ(注:実装してないよ)。 一見、アホネタだけど。これ凄いシリアスな問題だよな。だってさ、エロサイトとかにそういう仕組みがあったら、最悪の場合一瞬で個人情報特定されるぜ?サイトのクッキーと、MIXIのアカウントとかが結びつけられた日には、何がおこるかわかったもんじゃないですよ。 100万超過の巨大コミュニティとなった今、MIXIの持っていた知り合いとの人間関係を担保とした安全性ってのは、もうとっくに崩壊してる。さらにザバサーチのようにネット上に分散する情報をかき集めれば、かなりの精度で個人情報が筒抜けになる危険性も増して
やねうらお―よっちゃんイカを買いに行ったついでに家を買う男 - 危険なwebプログラミング
いまや、デザイナーですら、phpを使う時代になった。猫も杓子もphpである。以前は、「htmlが書けなきゃwebデザイナーじゃないよね」と言われていたのが、次第に「cssも書けなきゃ」「JavaScriptぐらい読めなきゃ」「phpを使えなきゃ」と、敷居があがってきた。webデザイナーの人たちも大変である。 phpは、確かに手軽に使える言語であり、いままでプログラミングに携わったことのない人であっても少し勉強すれば簡単なプログラムが書けてしまう。まして、C++やJavaで鍛えあげられたプログラマなら見た瞬間使えると言っても過言ではない。 しかし、セキュリティを確保することはそう簡単な問題ではない。このたび、ソシム株式会社から発売になった「PHP サイバーテロの技法 攻撃と防御の実際」(asin:4883374718)だが、この本は素晴らしい。現状知られているメジャーな攻撃方法14種類につい
USBデバイスはセキュリティにおける悪者じゃない - @IT
【編集部注】 広い意味で「USBデバイス」をとらえた場合、USB接続の各種デバイスが含まれますが、本連載において「USBデバイス」と称するものは上記の写真にあるような形状を持つハードウェアを指すこととします。ご了承ください。 ところがこの3デバイス、詳しく見ていくと開発された目的、進化の過程、適した用途など、どれを取ってもまったく違うものである。 イルカとサメ。形はよく似ているが、イルカはほ乳類、サメは魚類であることは誰もがよく知っている。しかし、USBデバイスの場合、似たような形状の裏にある本質的な違いがしっかりと理解されていないため、さまざまな混同や混乱が起きているのではないだろうか。 連載の1回目となる本稿では、USBデバイスの種類や使われ方を分類し、どのようなセキュリティニーズが生まれ、デバイスがそれにどう応えているのか、どんな課題が残されているのかを明らかにしたい。 USBデバイ
【レポート】Black Hat Japan 2005 - Unicode制御文字によるDirectory Traversal攻撃 (1) 文字コードでフォレンジックに関係しそうな領域はそれほど広くないはずだが…… - 伊原氏 (MYCOM PC WEB)
BlackHat Japan Briefings(以下BlackHat)では、セキュリティ関連の様々な話題に関するセッションが開かれたが、中には「よくもまあこんな方法を考えた」というようなものも数多い。本稿ではそんなセッションの中からいくつかをピックアップしてご紹介する。 見えない文字の混入によるフォレンジック回避策 最初にご紹介するのは、ネットエージェントの伊原秀明氏による「国内のフォレンジック」。一般に英語圏では文字コードというとほとんどASCIIコードのみを意識していればいいのに対し、日本語ではJIS(ISO-2022-JP)やEUC-JP、シフトJISなど多様な文字コードを意識しなければならない上、最近ではUnicodeに対応したソフトもかなり増えてきており、それを利用してフォレンジックを回避するような方法も開発されてきているという。そこで伊原氏はそれらのフォレンジック回避手法と、
チェコのウイルス対策ソフト「AVG」が日本に進出--個人向けは無料
システム開発のヴァスダックエンジニアリングは10月14日、チェコのGRISOFTが開発したウイルス対策ソフト「AVG」シリーズの日本国内での販売を開始した。 AVGには、個人の私的利用限定で無料で使える「AVG Free Edition」(英語版)がラインナップされている。Free Editionはヴァスダックからのサポートは受けられないが、ウイルスの定義ファイルは2〜3日で1回の頻度で配信される。 Free Editionは常駐し、PC内部に加えてメールに対してもウイルススキャンする。対応OSはWindows 98、Me、2000、XPであり、ヴァスダックのウェブサイトからダウンロードできる。 有償版の「AVG Professional Single Edition」(英語版)は、Free Editionの機能に加えてスキャンの実行日時指定など、設定変更ができるほかに、ヴァスダックからメ
Windows TIPS -- Tips:Windows Updateのファイルを個別にダウンロードする(1)
Windows Updateは、Windowsシステムに最新のパッチを当てるための最も簡便な手段である。Windows Updateを起動して、[更新をスキャンする]を選択すれば、システムがスキャンされて必要なモジュールが選択される。そして「更新の確認とインストール」を実行すれば、選択されたモジュールがWindows Updateのサーバからダウンロードされ、続いて自動的にインストール作業が行われる。 しかしこの機能を利用するためには、インターネットに接続していなければならない。また、Windows Updateでダウンロードされるモジュールのサイズは非常に大きく、すべてのモジュールを適用しようとすると数Mbytesから数十Mbytesに及ぶことも珍しくない。そのため、ダイヤルアップ回線のユーザーではかなりの時間が必要になるし、多数のWindowsマシンがある環境では、なおさら時間がかかる
Internet Explorerの「スクリプトによる貼り付け処理」機能の能力を検証する
2001年11月5日 作成 2001年11月11日 追記: 「関連」の3番目の項目 目次 概要 検証実験 脅威 Microsoftの公式見解 クリップボードの盗聴を防止する設定 関連 FAQ 概要 MicrosoftのWebブラウザ「Internet Explorer」(以下「IE」と略す)には、 「スクリプトによる貼り付け」という名の機能があります。これは、 「JScript」(JavaScriptをMicrosoftが独自拡張した言語の名称)の 独自機能のひとつで、 var str = clipboardData.getData("Text"); という一文で、 システムのクリップボードの中身を取り出せる機能です。 これは、おそらく、Web上のサービスでカット&ペースト機能をJScriptで 実現するために用意された機能と考えられます。 しかし、この機能が悪用されると、 悪意のあるペー
瞳子の日記 - sshパスワード間違えたら一定時間アクセスを禁止する
client address : %a client hostname : %n client username : %u client info : %c server address : %A server hostname : %N server process : %d server info : %s 辞書攻撃の対策として非常に有効です。 hosts.allow sshd : ALL : spawn ( /usr/local/bin/block_ssh_attack.sh %a 5 ) : allow /usr/local/bin/block_ssh_attack.sh #!/bin/sh # arg1 : ip addr ( can be given by tcpd ) # arg2 : suspend time in minutes export NUMLOGBACK=30
第15回 フリーツールで行うネットワーク脆弱性検査
第15回 フリーツールで行うネットワーク脆弱性検査:知ってるつもり?「セキュリティの常識」を再確認(1/6 ページ) Webアプリケーションの検査に加えて、サーバやネットワークの検査も重要だ。改めてネットワーク脆弱性検査の重要性を認識するためにも、今回はフリーツールを使ったネットワーク脆弱性検査を紹介する。 5月中旬に企業のWebサイトに不正侵入される被害が相次いだ。あなたの管理しているサーバでも同様の被害を受けるかもしれない。さらには機密情報の漏えいにもつながってしまう。そのためにも、前回説明したWebアプリケーションの検査に加えて、サーバやネットワークの検査も必要である。ネットワーク脆弱性検査については、昨今インターネット上や書籍などで解説されているが、今一度ネットワーク脆弱性検査の重要性を認識していただきたい。 ネットワークデバイス/サーバの脆弱性を調査するには、次のような8つの作業
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
[LAC]ラックのデータベースセキュリティ研究所が提供するデータベース安全ガイド![[LAC]ラックのデータベースセキュリティ研究所が提供するデータベース安全ガイド](https://cdn-ak-scissors.b.st-hatena.com/image/square/f56929744b18665abe82c2f039aa259a251e6a46/height=288;version=1;width=512/https%3A%2F%2Fwww.lac.co.jp%2Fcommon%2Fimg%2Fimg_ogp01.jpg)
簡易TCPポートスキャンスクリプト
小規模管理者向けセキュリティマニュアル(v1.0)
安全なWebアプリ開発の鉄則 2004