タグ

セキュリティに関するnidieuのブックマーク (28)

  • Googleなどを狙った大規模攻撃、目的は各企業のソースコードか

    Googleが先日、中国政府による検閲や人権活動家のGmailアカウントに対して高度に洗練された大規模なサイバー攻撃があったことなどが挙げた上で、中国から今後数週間で撤退する可能性があることを明らかにしましたが、この攻撃のもう1つの目的と思われるものが調査によって明らかになりました。 どうやら人権活動家に関する情報だけでなく、各企業が持つIT製品の根幹ともいえるソフトウェアの設計図「ソースコード」を狙ったものであった可能性があるようです。 詳細は以下から。 Google Hackers Targeted Source Code of More Than 30 Companies | Threat Level | Wired.com Researchers identify command servers behind Google attack これらの記事によると、インターネットインフラ

    Googleなどを狙った大規模攻撃、目的は各企業のソースコードか
  • 簡単な作業でWordPressのセキュリティをアップするチップス

    ブログツール「WordPress」のインストール時に、簡単な作業でセキュリティをアップするチップスをWP Engineerから紹介します。 Small Security Tipps for your WordPress Install 以下、そのポイントを意訳したものです。 はじめに WordPressの標準のインストールは非常に簡単で、WordPressの人気の要因の一つともいえます。しかしながら、インストールを行う際に少し手を加えることで、不正なアクセスをより難しいものにすることができます。 テーブルのプレフィックス DBで使用するテーブルのプレフィックスを標準の「wp_」から異なる文字列に変更します。 設定方法 「wp-config.php」の「$table_prefix = 'wp_';」の「wp_」を変更します。 認証用ユニークキー WordPressの安全性をアップするために、

  • 第1回 OAuthとは?―OAuthの概念とOAuthでできること | gihyo.jp

    今回から始まった「ゼロから学ぶOAuth⁠」⁠。全4回の特集にて、これからのWebサービスを開発する上で不可欠な技術「OAuth」について取り上げます。初回は、OAuthの概念について取り上げます。 はじめに はじめまして、iKnow!改めsmart.fmの真武です。現在smart.fmでは、OAuthやOpenID、OpenSocial、Semantic WebやActivity Streamなどといった新しい技術の導入を積極的に行いサイトを活性化させるとともに、smart.fm APIを通じて我々の技術を外部のデベロッパの方々にも提供しています。 smart.fmは日最大のOpenID Relying Partyであるだけでなく、国内では数少ないOAuth Consumer(後述)およびOAuth Service Provider(後述)を兼ねるサービスとなっています。こういった背景

    第1回 OAuthとは?―OAuthの概念とOAuthでできること | gihyo.jp
  • 最終回 XSSの正体見たり 騙りタグ | gihyo.jp

    <前回のお話> XSSの正体は、タグに使用される特定の記号を来とは異なる個所に用いることで、サーバの誤認識を誘発することと知ったわかばちゃん、“⁠難しくない⁠”というその対策とは!? そして気になる2人のカンケイは!? 読者100万人を巻き込んだ、衝撃と感動の一大スペクタクルがいまここに完結!

    最終回 XSSの正体見たり 騙りタグ | gihyo.jp
  • 履歴消去じゃ消えないエロサイトの隠れた痕跡に要注意 - てっく煮ブログ

    色んなホームページを見ていると閲覧履歴が自動で保存されます。恥ずかしいページを見たあとには、他の人にばれてしまわないように、こっそり履歴を消している人もいることでしょう。通常、ブラウザには「履歴を削除する機能」が備わっていて、ブラウザの履歴を削除すればあなたの悪行の数々は消え去ってくれるように思えます。しかし、ブラウザからは消せない履歴が残っているのです…ブラウザからは消せない履歴それが Flash の Local Shared Object です。Local Shared Object は Flash 版の Cookie みたいなもので、Flash で一時的なデータを保存するときにはよく用いられるものです。Local Shared Object は次の場所に保存されています。OS場所Windows XPC:\Documents and Settings\ユーザ名\Application

  • GENOウイルスまとめ - 方向性のない日々

    どうやら、GENO以外のサイトでも感染する可能性があるようで… 有志の方がまとめてくれているwikiがあるので、転載するのも無意味ですし、誘導しておきます。 気になる方は一読を。 GENOウイルスまとめ http://www29.atwiki.jp/geno/ あと、セキュリティ板の方を見ていたら、気になる情報が載っていたので、ひとつだけ試してみました。 94.247.2.195に、Firefoxでアクセスすると、下記のような画面になり、 このサイトがブロックされる理由をクリックすると、Googleの診断結果が。 過去90日間の間に、不正なソフトウェアがホストされていて、7560個のドメインを感染させていたと…今回のGENOサイトも改ざんされ、このサーバー上の改変jquery.jsを実行するようになっていたらしいので、wikiでも他の感染サイトが報告されていますが、まだ見つかっていない改ざ

    GENOウイルスまとめ - 方向性のない日々
  • FON - LaFoneraのセキュリティホール発見でござるの巻 - FreeBSDいちゃらぶ日記

    FONって「プライベートネットワークを安全に保ったまま、外部にネットワークを貸し出すことのできる」ツールだと思ってたのですが。 実はそんなでもなく、少しだけ複雑なネットワークを組んでしまうと、すぐに脆弱性が露呈するという、非常に頼もしいツールだったりした訳です。はい。 ネットワークに入られちゃうよぉぉおおお 家の中にネットワーク(サブネット)が二つあると、FONがつながっている方のネットワークは安全に守られるんだけど、FONが参加していない方のネットワークは丸見えになってしまいます。 「そんなネットワークは、そんなに無いだろ(苦笑」っていう人もいるかも知れないけど、実はそんなでも無くて 病院 市役所 学校 とか、普通にサブネット複数あります。そして、こういう所に居る自称物知りさんが「こういうFONってのがあるんだZE☆」とか言いながら、ネットワーク管理者に無断でFONを設置しちゃったりして

    FON - LaFoneraのセキュリティホール発見でござるの巻 - FreeBSDいちゃらぶ日記
  • PHPでのセキュリティ対策についてのメモ - Liner Note

  • Rails が即死する REXML の DoS 脆弱性について - 2nd life (移転しました)

    http://www.ruby-lang.org/ja/news/2008/08/23/dos-vulnerability-in-rexml/ 先日公開された、REXML の脆弱性ですが、「あーそうなんだ、でもうちの Rails のサービスじゃ REXML でパースする処理なんて書いてないから別にいいや」とか思っている方、大変危険です。みんなパッチあてようよ! XML entity explosion attackと呼ばれる攻撃手法により、ユーザから与えられたXMLを解析するようなアプリケーションをサービス不能(DoS)状態にすることができます。大部分のRailsアプリケーションはこの攻撃に対して脆弱です。 REXMLのDoS脆弱性 と書いてある通り『大部分のRailsアプリケーションはこの攻撃に対して脆弱』なのです。たぶん今世の中にある Rails な Web サービスの9割が現状でも、

    Rails が即死する REXML の DoS 脆弱性について - 2nd life (移転しました)
  • PukiWiki 【FrontPage】

    なんだかやけに長い説明ばかり検索に引っかかったので書きました。 Linuxのローカル環境でDockerコンテナ内のXアプリ(GUIアプリ)を利用するには $ xhost localhost + を実行した後に $ docker run --rm --net host -e "DISPLAY" container_image_name x_app_binary_path とすれば良いです。 もっと読む SSHなどよく知られたサービスポートで何も対策せずにいると数えきらないくらいの攻撃リクエストが来ます。不必要なログを増やしてリソースを無駄にし、もし不用意なユーザーやシステムがあると攻撃に成功する場合もあります。 SshguardはC作られており、flex/bisonのパーサールールを足せば拡張できますがカスタム版をメンテナンスするのも面倒です。必要なルールを足してプルリクエストを送ってもマー

    PukiWiki 【FrontPage】
    nidieu
    nidieu 2008/07/29
  • サイトに攻撃、どう対処? IPAが体験ゲーム公開

    独立行政法人・情報処理推進機構(IPA)は6月18日、Webサイト運営時にミスを犯したり、サイトに攻撃を受けた場合などの対処法をシミュレーション形式で体験できる無料ゲーム「安全なウェブサイト運営入門」をWebサイトでダウンロード公開した。 プレイヤーはネットショップ運営担当者となり、さまざまな問題を体験するというシナリオ。電子メールの誤送信、クロスサイト・スクリプティング、SSLサーバ証明書の期限切れ、ウイルス感染、DoS攻撃、セッション管理の不備、SQLインジェクションについて学べる。 選択肢によってシナリオが変化する仕組みで、適切な選択ができなかった場合は、ネットショップが閉鎖されたり、会社が倒産することもある。シナリオをクリアすると成績(A~F)が表示される。 日立インターメディックスが開発した。対応OSはWindows XP/Vista。Webサイト運営担当者や情報システム担当者、

    サイトに攻撃、どう対処? IPAが体験ゲーム公開
  • PHP/脆弱性リスト/メモ - yohgaki's wiki

    なんだかやけに長い説明ばかり検索に引っかかったので書きました。 Linuxのローカル環境でDockerコンテナ内のXアプリ(GUIアプリ)を利用するには $ xhost localhost + を実行した後に $ docker run --rm --net host -e "DISPLAY" container_image_name x_app_binary_path とすれば良いです。 もっと読む SSHなどよく知られたサービスポートで何も対策せずにいると数えきらないくらいの攻撃リクエストが来ます。不必要なログを増やしてリソースを無駄にし、もし不用意なユーザーやシステムがあると攻撃に成功する場合もあります。 SshguardはC作られており、flex/bisonのパーサールールを足せば拡張できますがカスタム版をメンテナンスするのも面倒です。必要なルールを足してプルリクエストを送ってもマー

    PHP/脆弱性リスト/メモ - yohgaki's wiki
  • MySQL、スクリプト言語から SET NAMES はセキュリティに問題あり - goungoun技術系雑記帳

    [カテゴリ:MySQL] [カテゴリ:PHP] MySQL、スクリプト言語から SET NAMES はセキュリティに問題あり(2007/10/04) **************************************** 以下も関連あり。 2007/04/23-01、skip-character-set-client-handshake について **************************************** MySQL、スクリプト言語から SET NAMES はセキュリティに問題あり(2007/10/04) $conn = mysql_connect('127.0.0.1', 'root', ''); mysql_query('SET NAMES cp932' ,$conn); なんてやるのはNGらしい。 正解は、 $conn = mysql_connect(

  • iptablesによる負荷分散とDoS対策

    ・外部からの接続パケットは基的にすべて破棄 ・内部からの接続パケットは基的にすべて破棄 ・ループバックアドレスに関してはすべて許可 ・メンテナンスホストからのping、メンテナンスホストへのpingを許可 ・メンテナンスホストからのssh(TCP 22)を許可 ・サーバからメンテナンスホストへのsshは許可しない ・SYNクッキーを有効化 ・ブロードキャストpingに応答しない ・通常pingに1分間に10回までしか応答しない DoS(Denial of Service attacks)攻撃は、さまざまな手法でターゲットにしたホストのサービスを利用不能に陥れます。最近では、攻撃元が分散化されたDDoS(Distributed Denial of Service attacks)が使用されるなど、手口も巧妙化しています。ここでは、知られている攻撃手法とそれに対する防御法をいくつか紹介しま

    iptablesによる負荷分散とDoS対策
  • ぼくはまちちゃん!(Hatena) - Port801 (初心者向け)セキュリティ勉強会 Hamachiya2編

    こんにちはこんにちは!! 先日、Twitterで声をかけてもらって、 第一回 Port801 セキュリティ勉強会っていうのに参加してきたよ!! (↑pw: security) そこで、すこし喋った時のビデオを頂いたので、もったいないので公開しちゃいますね! プレゼンだとかそういうの慣れてなくて、ぐだぐだな感じだけど、 よかったら何かの参考にしたり、晩ご飯のおかずにしてください>< Port801 セキュリティ勉強会 - Hamachiya2 その1 (http編) Port801 セキュリティ勉強会 - Hamachiya2 その2 (CSRF編1) Port801 セキュリティ勉強会 - Hamachiya2 その3 (CSRF編2) Port801 セキュリティ勉強会 - Hamachiya2 その4 (XSS編1) Port801 セキュリティ勉強会 - Hamachiya2 その5

    ぼくはまちちゃん!(Hatena) - Port801 (初心者向け)セキュリティ勉強会 Hamachiya2編
  • PHPで安全なセッション管理を実現する方法

    _ 残り容量が数十Mバイトになっていた PCがなんかくそ遅いなーと思ってふと空きディスク容量をみたら、残り数十Mバイトまで減っていた。Folder Size for Windowsで各ディレクトリ単位のディスク使用量をながめてみたところ、 Thunderbirdでimapでアクセスしているアカウントのデータフォルダに、なぜか1GバイトオーバーのINBOXファイルがあった。なにこれ? 削除したけど別に動作には支障はなし。 puttyのlogが無限に追記されたよ……。数Gバイト。 昔ダウンロードしたCD/DVD-ROMのisoイメージファイルが、そこかしこに消されず残ってたよ。10Gバイトオーバー。 あと、細かいテンポラリディレクトリの中身とか消したら、30Gバイトくらい空いた。そこまでやって久しぶりにデフラグを起動したら、表示が真っ赤(ほとんど全部断片化されている)だったので、最適化実行中。

    nidieu
    nidieu 2008/05/22
    ログイン時にセッションIDを再発行する理由と実装方法の解説
  • PHPプロ!PHP講座新着順

    平素より「PHPプロ!」をご愛顧いただき、誠にありがとうございます。 2006年より運営してまいりました「PHPプロ!」ですが、サービスの利用状況を鑑みまして、2018年9月25日(火曜日)をもちましてサービスを終了させていただくことになりました。 サービス終了に伴いまして、2018年8月28日(火曜日)を持ちまして、新規会員登録ならびにQ&A掲示板への新たな質問、回答の投稿を停止させていただきます。 なお、ご登録いただいた皆様の個人情報につきましては、サービス終了後、弊社が責任をもって消去いたします。 これまで多くの皆様にご利用をいただきまして、誠にありがとうございました。 サービス終了に伴い、皆様にはご不便をおかけいたしますこと、心よりお詫び申し上げます。 件に関するお問い合わせはこちらよりお願いいたします。

  • pne-spec – OpenPNE

    TOC OpenPNE仕様メモ OpenPNEの正式な仕様書が出来るまでの仕様メモです。 PC版の推奨環境 OpenPNE2.12以降の推奨機種 Windows Microsoft Internet Explorer 6.0以上 Mozilla Firefox 1.5以上 Opera 9.25以上 Mac OS X Apple Safari 3.0以上 Mozilla Firefox 1.5以上 Opera 9.25以上 ※Cookie, JavaScript, CSS が有効な状態である必要があります ※ここに掲載されている以外の環境でも動作する可能性はありますが、小窓機能や文字装飾機能が動作しなかったり、表示が崩れることがあります 携帯版の推奨機種 OpenPNE2.10での携帯UI変更に伴う変更点 tableタグを使用するようにした (!DoCoMo以外)文字サイズ変更にCSSを使用

  • Request Rejected

    The requested URL was rejected. Please consult with your administrator. Your support ID is: 15553362437744724326 [Go Back]

    Request Rejected
  • ウェブサイトの攻撃兆候検出ツール iLogScanner | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

    ウェブサイトの攻撃兆候検出ツール iLogScanner 概要 iLogScannerは、ウェブサーバのアクセスログから攻撃と思われる痕跡を検出するためのツールです。 ウェブサイトのログを解析することで攻撃の痕跡を確認でき、一部の痕跡については攻撃が成功した可能性を確認できます。また、SSHやFTPサーバのログに対しても、攻撃と思われる痕跡を検出することができます。

    ウェブサイトの攻撃兆候検出ツール iLogScanner | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構