タグ

apacheとsecurityに関するnakackのブックマーク (14)

  • 無料パフォーマンステスト | 負荷テスト

    これまで、負荷テストの実行には専門知識と実行環境の準備に多くのコストが必要でした。社会からWebサービスの性能に関する不具合をゼロにするために、簡単、無料、圧倒的な負荷テストサービスを提供します。 ユーザビリティ サーバの応答速度は常に変化し、利用者の直帰率に大きく影響を与えます。サーバの応答速度を可視化し、日々計測することで、すみやかに問題個所を発見できます。 性能測定 サーバの性能不足により、せっかくの営業機会を失うサイトが多く存在します。サーバの性能を正しく把握することで、予測される負荷に応じたサーバの増強ができます。 負荷チェッカー/カレンダーを利用したテスト(ジョブ)の予約や、グラフィカルな結果画面を準備しており、初心者の方にも大変使いやすいサービス。インスタントテスト/URLを入力するだけで、すぐに負荷テストを行うことができます。シナリオテスト/ログインが必要なページや複数のペ

    無料パフォーマンステスト | 負荷テスト
  • ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策

    既に報道されているように、ロリポップ!レンタルサーバーに対する改ざん攻撃により、被害を受けたユーザー数は8428件にのぼるということです。ここまで影響が大きくなった原因は、報道によると、(1)「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされた、(2)パーミッション設定の不備を悪用されて被害が拡大した、ということのようです。 29日夜の時点では、攻撃者の改ざん手法について「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされて「wp-config.phpの」の設定情報が抜き出されたと説明していたが、30日午後7時過ぎの説明で、この脆弱性が侵入経路となって同社のパーミッション設定の不備を悪用されたことが原因だったことを明らかにした。 「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備

    ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策
  • 「Apache Struts」を狙うハッキングツールの流通を確認(トレンドマイクロ) | ScanNetSecurity

    「Apache Struts」を狙うハッキングツールの流通を確認(トレンドマイクロ) | ScanNetSecurity
  • ModSecurityをソースからビルドしてhashdos対策に活用する

    このエントリではModSecurityをソースからビルドする方法を説明した後、hashdos専用のチューニングを施す流れを説明します。 はじめに既にModSecurityについては、CentOS+yumおよびUbuntu+apt-getにより導入する方法を説明しています。このエントリでは、ModSecurityをソースからビルドする方法を説明します。 ModSecurityのビルドは依存関係が複雑であり、バージョンによってビルド方法が変わるなど、面倒な面があります。このエントリでは、CentOSとUbuntuの場合について、実際的なビルド方法を説明します。 準備するもの ModSecurityは以下のプロダクトに依存しています(ModSecurity HandbookP27)。ビルドに先立って準備しておく必要があります。 Apache Portable Runtime(APR) APR-U

  • ヤフーがyimg.jpを使う本当のワケ - 最速配信研究会(@yamaz)

    ヤフーの画像はなぜyimg.jpドメインなのか? サイト高速化の手法とヤフーの失敗例 でヤフーがなぜドメインを変えて画像サーバを運用しているかが書かれている.「静的なコンテンツに対してクッキーフリードメインを使うことによって速度向上を狙う」というのが理由とあって,これはこれでもちろん正しいのだけれど,これはどちらかというと副次的な理由で当の理由は違う. クッキーフリードメインを使うことで悪意あるFlashコンテンツなどから自社ドメインのクッキーを守るためというのが当の理由で,これはあちこちで使われているテクニックだ.Flashコンテンツは外部の業者さんに作ってもらったり,広告の入稿素材として入ってくるので,信頼できないデータとして取り扱う必要があり,万一まずいデータがアップされることがあっても大丈夫にしておく必要がある. 最近ユーザからの任意のコンテンツを受けつけて同一ドメインで配信し

    ヤフーがyimg.jpを使う本当のワケ - 最速配信研究会(@yamaz)
  • Whillet | Fintech Solutions for embedded finance | BaaS | Open banking

    Whillet is embedded finance fintech solutions Our solutions allow consumer companies to provide embedded financial services for your customers in your mobile app or website Open customer wallets seamlessly and immediatelyTop up wallets via bank cards or bank accountsWithdraw money to bank cards and bank accountsImplement or merge your loyalty program with money walletsKYC and all legal procedures

  • Linux/Apache系Webサイトを狙った正体不明の攻撃についての現状報告 | OSDN Magazine

    セキュリティ調査会社のFinjanから今月中旬に出されたプレスリリースにて、ある一群のWebサーバに何らかの不正操作を施された結果、そこにアクセスする多数のWindowsマシンが連日マルウェアに感染させられ続けており、こうして汚染されたマシンは未だ正体のつかめぬ犯罪組織の意図するボットとして活動するようになっているという警告が報じられている。この問題の発覚後、セキュリティ企業のScanSafeおよびSecureWorksもこの件に取り組んではいるが、感染されたサイト数の正確な数は未だ把握しかねているとのことだ。ただし今のところ、被害にあったサーバはLinuxおよびApacheの組み合わせという点において、すべてのレポートが一致している。 ServerTune.comの掲載記事にある説明では、今回の手口では不正操作を受けたサーバにルートキットの一種がインストールされており、それが正規のシステ

    Linux/Apache系Webサイトを狙った正体不明の攻撃についての現状報告 | OSDN Magazine
  • Apache HTTPセキュリティ更新、1.3/2.0ユーザも2.2系移行検討を | エンタープライズ | マイコミジャーナル

    The Apache Software FoundationおよびApache HTTP Server Projectは19日(米国時間)、Apache HTTP Serverの1.3系、2.0系、2.2系のそれぞれの最新バージョンを同時に公開した。今回の更新はバグ修正とセキュリティ修正に注力したもの。それぞれ次のセキュリティ問題が修正されている。 Apache HTTP Server 2.2.8 - CVE-2007-6388、CVE-2007-5000、CVE-2007-6422、CVE-2007-6421 Apache HTTP Server 2.0.63 - CVE-2007-6388、CVE-2007-5000 Apache HTTP Server 1.3.41 - CVE-2007-6388、CVE-2007-5000、CVE-2007-3847 Apache HTTP Ser

  • Apache mod_proxyに脆弱性

    印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 30日(デンマーク時間)、Secuniaは「Apache HTTPサーバー」に、DoSの脆弱性が発見されたと公表した。 今回発見された脆弱性は、Apache mod_proxyに存在する。影響を受けるバージョンは、それぞれ以下のとおり。 Apache 2.0.x Apache 2.2.x 影響度は「Less critical」に位置づけられている。解決策は、Apache 2.0.61-devまたは、Apache 2.2.6-devの開発版を利用すること。また、回避策はmodproxyを利用せずApache Tomcatのmodjkを利用すること。 詳細は、下記のセキュリティーアドバイザリーを参照されたい。 http://httpd.ap

    Apache mod_proxyに脆弱性
  • Webサーバへの攻撃を見抜く ― @IT

    ウイルス、ワーム、ボットによる攻撃……ネットワーク上に存在する脅威は多種多様である。サーバにアクセスされた形跡を見て、それが通常のものなのか、それとも脅威なのかを判断するには知識と経験が必要となる。そこで連載では、インシデント・ハンドリングのために必要な「問題を見抜く」テクニックを分野ごとに解説していく(編集部) ※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 インシデントを最終判断するのは「人間」 インターネットは、いわずと知れた世

    Webサーバへの攻撃を見抜く ― @IT
  • Welcome to netnea – Network Management. Security. OpenSource.

    Since more than 20 years, we realize IT and Telco projects with special attention to security, efficiency, and scalability. Our profound know-how guarantees a careful selection of convincing solutions even in complex environments. The portfolio of netnea is focused on three areas of competence: Network Management, Operation Support System (OSS) Web Security (Apache / ModSecurity) Linux / Unix Syst

  • ModSecurity 2.X Changes and Migration Matrix(mod_security.org) - ripjyr's blog

    modSecurity 1.xから2.0への以降の注意点とか書かれています。 The migration matrix show below should help you to translate ModSecurity 1.X directives to the 2.0 values. There are also some notes that provide additional information is a directive significantly changed how it operates.

    ModSecurity 2.X Changes and Migration Matrix(mod_security.org) - ripjyr's blog
  • OutOfOrder.cc :: mod_gnutls

    New Project Page As of July of 2011 mod_gnutls is now being maintained by Dash Shendy and has a new project page at Source Forge Abstract mod_gnutls uses the GnuTLS library to provide SSL 3.0, TLS 1.0, TLS 1.1 and 1.2 encryption for Apache HTTPD. It is similar to mod_ssl in purpose, but does not use OpenSSL. Features Support for SSL 3.0, TLS 1.x. Support for client certificates. Support for Safe r

  • サーバにDoS耐性を付ける - stanaka's blog

    ウェブサービスでは、アクセスが集中して、サイトが落ちる、というのは、よくある話です。純粋に人気が出てアクセス集中するなら、サーバ管理側の責任と言われても、しかたないと思います。しかし、botやF5アタックによる突発的な集中アクセスで、落ちてしまう、というのは、運営側としても、あまり納得がいくものではありません。 そのような突発的なアクセスに対応するために、大量のアクセスをしてくるクライアントを検出し、優先度を落すか、アクセス禁止にする方法などがあります。 というわけで、Apacheモジュールでそれを検出するためのmod_dosdetectorを開発しました。(ちなみにコア部分の開発期間は、Apacheモジュールって、どう書くんだっけ、という状態から、3日でした。) mod_dosdetectorは、Apacheモジュールとして動作し、クライアントのIPアドレスごとにアクセス頻度を測定し、設

    サーバにDoS耐性を付ける - stanaka's blog
  • 1