websec-room.com - websec room リソースおよび情報
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
GoogleのreCAPTCHAに対抗する「hCaptcha」の市場シェアが15%を突破
ボット検出システムである「CAPTCHA」では、GoogleのreCAPTCHAが有名ですが、Google以外にもさまざまな企業や組織がCAPTCHAを提供しています。そんな中の1つであるhCaptchaが、Google以外の企業が提供するCAPTCHAとしては最大の15%という市場シェアを獲得したと報告しています。 hCaptcha Is Now the Largest Independent CAPTCHA Service, Runs on 15% Of The Internet https://www.hcaptcha.com/post/hcaptcha-now-the-largest-independent-captcha-service CAPTCHAは、グニャグニャの文字を読み取って入力したり、提示されたテーマに沿った画像を複数選択させたりすることで、画像認証を利用して人間かボ
セキュリティを重視した開発手法ベストプラクティス
モバイルアプリケーションから大規模な金融機関のインフラストラクチャーまで、ソフトウェアの構築方法は急速に進化しており、セキュリティは開発者が最初から考慮するものとなりました。開発のペースが速まると、セキュリティ侵害のリスクが大きくなります。セキュリティに気を使っている大企業でさえ、公開されているソースコードにパスワードを残したり、お客様の個人データを漏洩したり、明らかに脆弱性があるのに重要なアプリケーションを本稼働させたり、といったことは珍しくありません。多くの企業が新しいソフトウェアをいち早くリリースしようと懸命になり、ソフトウェアの安全性を保つことに苦労しています。 このように、企業におけるソフトウェア開発は迅速な作業とセキュアな構築の両立が課題になっています。新しい開発手法はコードをより早く市場に投入できますが、不適切なツールやプロセスを使うと、セキュリティが不十分になりかねません。
セキュリティブック「セキュリティ 7つの習慣・20の事例」 – MOTEX Inc.
ITの進歩により便利になる一方、その影に潜むリスクは 企業だけでなくあなたのすぐそばまで迫っています。 でも、ウイルス感染や情報漏えいなんて、自分は大丈夫。 セキュリティは面倒くさいし、どう学べばいいかわからない。 そう思っていませんか? どんなに高い投資をしてツールをいれても、 会社の大切な資産を守るためには、社員一人ひとりの意識が大切です。 また、あなた個人の身を守るためにも、あなた自身の意識が必要です。 本書は、まず身につけておくべき「セキュリティ 7つの習慣」、 また身近に起こる様々なリスクをQ&A形式の「20の事例」にまとめました。 セキュリティの基礎を学びたい方や社会人としての教養を身に付けたい方、 会社でのセキュリティ研修やマナー研修などにご活用ください。 本書・資料が皆様の“セキュリティリテラシー向上” のお役に立てれば幸いです。 2017年2月 エムオーテックス株式会社
「セキュリティの基礎は無料で学べる」 ワンクリックで”リテラシー”高める無料教本
「セキュリティの基礎は無料で学べる」 ワンクリックで”リテラシー”高める無料教本:ITりてらしぃのすゝめ(1/3 ページ) ほとんどの人にとっては、ITセキュリティは難しいもので、勉強するのは面倒に感じるかもしれません。将来的に素晴らしい技術が登場して、私たちが何も気にしなくてもAIや機械がサイバー空間を守ってくれるようになる未来は必ずやってくると信じているものの、現状は私たち自身がサイバーセキュリティについて学んでいく必要があります。 いきなりセキュリティの達人になることはできなくても、「あ、これ聞いたことがあるな」と気付けるだけで、多くの脅威から身を守ることができます。 ならば、その「聞いたことがある」という状況にまでステップアップしてしまいましょう。これまでなら本屋に行って何か教本を買ってくるか、ネット上で調べるのが定番でした。いまやその第一歩が、無料の電子書籍で済んでしまうのですか
[AWS][WordPress] WordPress のコアソースが改竄されていないかを CloudWatch のカスタムメトリクスで検知しよう - Qiita
wp-cli の core verify-checksums コマンドを使うと、コアソースに改竄があるか確認できます。 それを元に CloudWatch のカスタムメトリクスに改竄されたファイル数を送って監視してしまおうというお話。 こんな感じのシェルスクリプトを作って、cron で5分ごとに回すといいんでないかなと思います。 #!/bin/bash # WordPress の Web ドキュメントルートディレクトリへのパス wp_path='/path/to/wordpress' # EC2 のインスタンス ID を取得 instanceid=$(curl -s http://169.254.169.254/latest/meta-data/instance-id) # region を取得 az=$(curl -s http://169.254.169.254/latest/meta-
![[AWS][WordPress] WordPress のコアソースが改竄されていないかを CloudWatch のカスタムメトリクスで検知しよう - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/f3e1e8d90501ee45babf6cc71137bb56e3a3d89f/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-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%26mark-x%3D142%26mark-y%3D57%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDB3b2thbW90byZ0eHQtY29sb3I9JTIzMjEyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTM2JnR4dC1hbGlnbj1sZWZ0JTJDdG9wJnM9ODRmZDUzMDljMWJmYzlmMzYyYWFmNDc0NjA2MWU4YWU%26blend-x%3D142%26blend-y%3D436%26blend-mode%3Dnormal%26txt64%3DaW4g5qCq5byP5Lya56S-44OH44K444K_44Or44Kt44Ol44O844OWIChEaWdpdGFsQ3ViZSBDby4gTHRkLiAp%26txt-width%3D770%26txt-clip%3Dend%252Cellipsis%26txt-color%3D%2523212121%26txt-font%3DHiragino%2520Sans%2520W6%26txt-size%3D36%26txt-x%3D156%26txt-y%3D536%26s%3Dd415d6faf4a035cc1d1db413b2290088)
Webデベロッパのためのセキュリティ・チェックリスト | POSTD
安全で堅牢なWebアプリケーションをクラウドで開発するのは 非常に困難 です。それを簡単だと思っているような人は、例えばとんでもない頭脳をお持ちというなら別ですが、遠からず痛い目を見ることになるでしょう。 もし MVP(Minimal Viable Product:必要最低限の機能を備えた製品) のコンセプトを鵜呑みにして、有益かつ安全な製品を1ヶ月で作成できると考えているようなら、プロトタイプを立ち上げる前に一度考え直した方がいいと思います。以下に挙げたチェックリストをご覧いただければ、セキュリティに関するクリティカルな問題の多くをスキップしていることが分かるはずです。あるいは少なくとも、潜在的なユーザに対しては 誠実 であるように心がけ、製品が完全ではないこと、そしてセキュリティが不十分な製品を提供していることを伝えるようにしてください。 このチェックリストはシンプルなもので、決して完
WordPressなWeb屋のセキュリティマニュアル - Qiita
WordPressでサイト構築・運用を行う場合に特化した、サイトの改ざんなどへの対策と発生した場合の行動マニュアルを作りました。 更新履歴の管理のため、同じ文書をgithubにアップロードしています。 なるべく多くの人が使えるように、具体的な内容で仕上げていきたいと考えています。 ここはこうしたほうがいい、とか不備があればコメントを頂けると幸いです。 更新履歴 17/5/8 設定の一部修正。 プラグインの自動アップデートのコードの記載場所はwp-config.phpではなかったため修正。(英文公式サイトにconfigに書くなって書いてました。正しいのは多分function.phpだと思う。自信がないので各自調べてください m(_ _)m) この文書について WordPressを用いたウェブサイト制作者向けのセキュリティマニュアルとして作成した。 本マニュアルは主にサイトへの不正侵入、改ざん
キャプチャ認証(reCAPTCHA)を導入する。 | WP TECH (WordPress技術専門 Tips)
キャプチャ認証とは? 文字や数字を模した画像、チェックボタンを読み取ることができるか否かによって、 人間とロボット(スパムやウィルス)を判別する認証を指します。 必要なもの (今回の方法で)キャプチャ認証を表示させるには「Site key」と「Secret key」が必要になります。 そこで、Googleが提供する「reCAPTCHA」というサービスを使用します。 ・reCAPTCHA https://www.google.com/recaptcha/admin#list 「Label」欄には、任意で(キャプチャ認証を識別するための)ラベル名をつけます。 「Domains」欄には、キャプチャ認証を追加したい対象のドメインを入力します。 (「http://」や「https://」を省略した状態で入力して下さい。) 入力後、Keysという項目の下に「Site key」と「Secret key」
SiteGuard WP Plugin | WordPressセキュリティプラグイン
特長 SiteGuard WP Pluginは、WordPressにインストールするだけで、セキュリティを向上させることができるセキュリティプラグインです。 管理ページとログインページの保護を中心とした日本語対応のシンプル・簡単プラグインで、以下の攻撃を防ぐことができます。 不正ログイン 管理ページ(/wp-admin/)への不正アクセス コメントスパム 重要なお知らせ このプラグインは、インストールして有効化すると、自動的にログインページのURLを変更します。 (WordPressのログインページ(wp-login.php)を「login_<5桁の乱数>」に変更します。) 管理画面の「SiteGuard」>「ログインページ変更」をクリックして、新しいログインページを確認してブックマークしてください。 また、新しいログインページのURLを管理者宛のメール(サブジェクト「WordPress:
Dockerでホストを乗っ取られた - Qiita
注意 本件記事ですが、私の不適切な行動(拾ったスクリプトを検証なく走らせる)が原因です。「dockerは(特に何もしなくとも)危険」との誤解を皆様に与えた点、ご迷惑をおかけいたしました。申し訳ございません。 拡散されている記事を削除するのはさらなる誤解を招きかねないと思いましたので、冒頭に注意を付記しております。以下の記事は、「自分が何してるかをきちんと検証できないとセキュリティホールを生み出す」という意味で参考にして頂ければ幸いです。 追記 Twitterやはてブで言及いただきました皆様、ありがとうございます。 本件はpullしてきたイメージが悪意ある開発者によるものかどうかにかぎらず、不適切な設定をしていると起こり得ます。 ※コメント欄に質問への回答という形で、私がそのときに走らせていたイメージの一覧を挙げておりますが、どのイメージも評判あるものだと思います。 皆様におかれましては「あ
他人事じゃない!WEBサイトに対する10の攻撃パターンと対策方法まとめ | CodeCampus
他人事じゃない!WEBサイトに対する10の攻撃パターンと対策方法まとめ更新日: 2017年5月22日公開日: 2015年7月22日 Web 制作初心者にとって、web デザインやサイト構成など考えることがたくさんある中で、さらに追い打ちをかけるように「セキュリティ」に関しても一応の知識が求められます。「Web サイトといってもブログだから大丈夫」「簡単な商品紹介のサイトだから大丈夫」と安易に思っていると、知らない間に自分の作ったサイトが誰かに作り変えられて、知らない間に加害者になっているという事例もあります。 せっかく一所懸命作るサイトを悪意ある人に邪魔されないためにも、基本的なセキュリティー対策を講じておく方が賢明と考えられますよ。 Web サイトとセキュリティ 引用:Symantec’s 2015 Internet Security Threat Report 2015年に入って世界の
5分でわかる正しい Web サイト常時 SSL 化のための基礎知識
Web サイトを常時 SSL 化する場合に、最低限知っておかなければならない知識や、注意点、実際の設定方法まで、ひと通りまとめてみました。メリットやデメリット、証明書の種別からリダイレクト設定などについても解説しています。 HTTPS をランキングシグナルに使用しますと Google が公式に発表したあたりから、Web サイトの SSL 対応、特に Google が推奨している Web サイトをすべて HTTPS で配信する、所謂 「常時 SSL 化」 についての話を聞いたり、実際にお客様から相談されたりするケースが増えてきました。 そこで、いい機会だしその辺に関する情報をまとめておこうかな~ と思って書いてみた、恒例の (?) 5分でわかるシリーズ。書き終わって見たところ絶対に 5分じゃ無理っていう文章量になっててどうしようかなぁとも思ったんですが、気にせず公開してみます。 常時 SSL
WordPressでしっかり設定しておきたいセキュリティやメンテナンスに役立つ.htaccessのまとめ
WordPressでブログやサイトを運営する前、そして運営している時にしっかり設定しておきたいWordPressのセキュリティやメンテナンスに役立つ.htaccessの設定を紹介します。 .htaccessファイルを守る 最初に行うことは、.htaccessをあなた以外の無許可のアクセスから守ることです。下記のスニペットは第三者があなたの.htaccessファイルにアクセスするのを阻止します。 ルートの「.htaccess」に下記を記述します。 <files ~ "^.*\.([Hh][Tt][Aa])"> order allow,deny deny from all satisfy all </files> wp-config.phpファイルを守る WordPressでもう一つ重要なファイルがあります、それはwp-config.phpです。
知っていれば恐くない、XMLHttpRequestによるXSSへの対応方法
知っていれば恐くない、XMLHttpRequestによるXSSへの対応方法:HTML5時代の「新しいセキュリティ・エチケット」(3)(1/2 ページ) 連載目次 皆さんこんにちは。ネットエージェントのはせがわようすけです。前回は、同一オリジンポリシーを突破する攻撃の代表的事例であるXSSについて、特にDOM based XSSと呼ばれるものについて解説しました。今回はその続きとして、XMLHttpRequestによるXSSを解説します。 XHR Level 2によるリモートからのコード挿入によるXSS 従来、XMLHttpRequest(以下、XHR)は、表示しているドキュメントと同じオリジン(オリジンについては第1回を参照)としか通信できませんでしたが、現在の主要なブラウザーではXHR Level 2と呼ばれる実装により、オリジンを超えて通信することが可能になっています。 これは、Jav
正規表現によるバリデーションでは ^ と $ ではなく \A と \z を使おう
正規表現によるバリデーション等で、完全一致を示す目的で ^ と $ を用いる方法が一般的ですが、正しくは \A と \z を用いる必要があります。Rubyの場合 ^ と $ を使って完全一致のバリデーションを行うと脆弱性が入りやすいワナとなります。PerlやPHPの場合は、Ruby程ではありませんが不具合が生じるので \A と \z を使うようにしましょう。 はじめに 大垣さんのブログエントリ「PHPer向け、Ruby/Railsの落とし穴」には、Rubyの落とし穴として、完全一致検索の指定として、正規表現の ^ と $ を指定する例が、Ruby on Rails Security Guideからの引用として紹介されています。以下の正規表現は、XSS対策として、httpスキームあるいはhttpsスキームのURLのみを許可する正規表現のつもりです。 /^https?:\/\/[^\n]+$/
Webアプリ開発者のためのHTML5セキュリティ入門
Enterprise x HTML5 Web Application Conference 2014の発表資料です。Read less
文字コードの脆弱性はこの3年間でどの程度対策されたか?
2019/01 JSUG勉強会の資料です。 この資料でDisっているのはJPAではなく、 ・何も考えずに「標準だから」というだけでJPAを選ぶ人 ・OSSに全くコントリビュートせずにフリーライドする人 です。
Adobeサイトから漏えいした暗号化パスワードはなぜ解読されたか
Adobe社のサイトの不正アクセス(参照、参照)によって、少なくとも3800万人のIDと暗号化されたパスワードが漏えいしたと言われています。既に報告したように、私のアカウントも漏えいしていました。 その後、『Adobeの情報流出で判明した安易なパスワードの実態、190万人が「123456」使用』というニュースが流れてきました。安易なパスワードが使われている統計は今までもあり、「パスワードの実態」に関しては「そんなものだろうな」と思いましたが、問題は、どうやって「暗号化パスワード」を解読したかです。 別の報道では、Adobeサイトがパスワードの暗号化に用いていたアルゴリズムはトリプルDESだったということです。トリプルDESは電子政府推奨暗号リストの今年の改訂でもしぶとく生き残り広く使われている暗号化アルゴリズムです。そんなに簡単に解読されたのでは問題ですが、実際には、「トリプルDESが解読
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TechCrunch | Startup and Technology News
