パスワード保護エリアを簡単に作れる『Password Protector SD』 | 100SHIKI.COM
パスワード保護エリアを簡単に作れる『Password Protector SD』 September 11th, 2007 Posted in 便利ツール(ウェブ) Write comment たまにプログラミングをするが、そのときに悩ましいのがパスワードで保護されたエリアの管理部分である。 ログイン画面、会員管理画面、パスワード再発行画面などなど、決まった処理であるにもかかわらず、作るのはとてつもなく面倒だ(ライブラリを使え、という話はまぁ、あるのだが)。 そこでご紹介したいのがPassword Protector SDだ。 このサイトではそうしたパスワード保護エリア部分だけを提供してくれている。既存のサイトに会員メニューをいれたい場合に便利だろう。 さらに会員向けのデジタルコンテンツの購読処理などもやってくれているようだ。同サイトにはデモも用意されているので見てみるとよいだろう。 決ま
ウノウラボ Unoh Labs: 5分でできるウェブサーバのセキュリティ向上施策
こんにちは、naoya です。 先日、ウノウが公開しているサービスの中にいくつかの脆弱性が見つかったため、社内で「脆弱性発見大会」を開催しました。この大会は、二人一チームに分かれてウノウが公開している各サービスの脆弱性を見つけることを目的とした大会です。結果は、いくつか各サービスに脆弱性が見つかり、すぐに修正することができました。 僕のチームは、ウノウのホームページやラボブログなど細かいサービスを担当しました。その中で、いくつかのウェブサーバにセキュリティ上あまい設定がありました。 今日は、ウェブサーバのセキュリティ向上のための設定方法についてエントリします。なお、ウェブサーバはApache 2.2系を前提としています。 サーバ情報の表示しない ウェブサーバ(Apache)で、404などのエラーページを表示したとき、ヘッダやページの下にApacheやOSのバージョンが表示されます。こういっ
Windowsのパスワードをわずか数分で解析する「Ophcrack」の使い方 - GIGAZINE
Windowsの各種ユーザーアカウントのパスワードを解析して表示することができるオープンソースソフト「Ophcrack」を使ってみました。Windows Vistaにも対応しており、総当たりで解析するのではないため、非常に素早く解析できるのが特徴。数分程度の時間で解析できてしまいます。今回の実験ではジャスト3分でAdministratorのパスワードが表示されてしまいました、ショック。 通常はISOイメージをCDに焼いてCDブートで起動するのですが、今回はUSBメモリから起動してみました。実際に起動してから終了するまでの様子のムービーもあります。 というわけで使い方などの解説は以下から。 ※あくまでも自分のパスワードの弱さをチェックするためのソフトなので、使用する際には自己責任でお願いします Ophcrack http://ophcrack.sourceforge.net/ ダウンロードは
PHPコードのXSSやSQLインジェクション脆弱性をチェックする「Pixy」:phpspot開発日誌
Pixy: XSS and SQLI Scanner for PHP Pixy is a Java program that performs automatic scans of PHP source code, aimed at the detection of XSS and SQL injection vulnerabilities. PHPコードのXSSやSQLインジェクション脆弱性をチェックする「Pixy」。 Javaで書かれたツールのようですが、Webインタフェースも用意されていて、サイト上でPHPコードの脆弱性がチェックできるようです。 例えば、次のようなコードを検証してみましょう。 <?php $x = $_GET['x']; echo $x; ?> すると、次のように、脆弱な部分が赤く表示されました。 なお、いくつか脆弱なコードを試してみましたが、問題なし、となるコード
Webアプリケーションを作る前に知るべき10の脆弱性 ― @IT
Webアプリケーションが攻撃者に付け込まれる脆弱性の多くは、設計者や開発者のレベルで排除することができます。実装に忙しい方も、最近よく狙われる脆弱性のトップ10を知ることで手っ取り早く概要を知り、開発の際にその存在を意識してセキュアなWebアプリケーションにしていただければ幸いです。 Webの世界を脅かす脆弱性を順位付け OWASP(Open Web Application Security Project)は、主にWebアプリケーションのセキュリティ向上を目的としたコミュニティで、そこでの調査や開発の成果物を誰でも利用できるように公開しています。 その中の「OWASP Top Ten Project」というプロジェクトでは、年に1回Webアプリケーションの脆弱性トップ10を掲載しています。2004年版は日本語を含む各国語版が提供されていますが、2007年版は現在のところ英語版のみが提供さ
CodeZine:OpenIDを使ってみよう(openid, 認証方法, Perl)
はじめに OpenIDは最近非常に注目が高まっている認証技術の一つです。ここでは、OpenIDを利用したPerlのサンプルを通じてOpenIDのメカニズムに触れていきたいと思います。必要な環境 Perl 5.8以上が動作する環境が良いと思います。基本動作の確認はMac OS Xを利用しましたサンプルの紹介 早速サンプルコードの「openid-test.cgi」を見ることにしましょう。このサンプルはOpenIDを利用した簡易ログインページです。 #!/usr/bin/perl use strict; use warnings; use CGI; use Net::OpenID::Consumer; #use LWPx::ParanoidAgent; use LWP::UserAgent; my $query = CGI->new; $query->charset('utf-8
ニンテンドーDSで学ぶ無線LANのセキュリティ ― @IT
前回は、無線LANの規格について簡単に紹介しました。今回は無線LANのセキュリティの技術を5分で解説したいと思います。 ニンテンドーDSで無線LANを利用するには? さて、筆者は最近ニンテンドーDS Liteを手に入れてゲームばかりをしています。@ITの記事のアップが遅れて、担当さんからの催促におびえる日々を送っています(笑)。DSに触れてみて驚いたのが、なんとデフォルトで無線LAN通信ができることです。 ケーブルをつながなくてもほかのユーザーとデータ交換ができたり、遠く離れたユーザーと対戦をしたり、まるで未来の機械です。 Wi-Fi接続を設定するときに「SSIDやWEPキー」など聞かれます。SSIDやWEP、WPAなどよく聞く単語ですが、いったいそれはどういうものなのでしょうか? ノートPCのみで家庭内無線LANを構築するときは、何も考えずに「一番安全」とされる設定を使えば問題ありません
Moony::log - PHPだけでBasic認証
何かの拍子で使わないとも限らないのでメモ代わりに書いておく。ざっくりと流れだけ。 <?php if (!authenticate($_SERVER['PHP_AUTH_USER'], $_SERVER['PHP_AUTH_PW'])) { header('WWW-Authenticate: Basic realm="title here"'); header('HTTP/1.1 401 Unauthorized'); echo 'Authentication failure.'; exit; } function authenticate($user, $password) { return ($user === VALID_USER && md5($password) === VALID_PASSWORD); } ?> authenticate関数の部分でデータベースアクセスするようにす
T.Teradaの日記 - ログイン直後のレスポンスの返し方
多くの会員制Webサイトでは、ID/PWによるログイン処理がある。ユーザにログイン画面を提示し、ユーザがフォームにID/PWを入力してsubmitする。ID/PWがOKであれば、ユーザのブラウザにはログイン後の画面が表示される。 以下に、これを実現するための2通りのシーケンス図を描く。セキュリティの観点で望ましいのはA、Bのどちらだろう?というのが今回のテーマ。 Aではログイン要求に対してHTTPステータス200応答とともにログイン後画面をブラウザに返している。Bではログイン要求に302応答を返して(HTTP1.1では303応答)、ログイン後画面にリダイレクトしている。 結論を言うと、セキュリティの観点では、私はBの方が望ましいと考えている。 逆に言うと、Aにはどうにも気に入らないところがある。それは、ID/PWを含むリクエストに対して200応答を返していることだ。200応答のページは、ブ
知らぬじゃ済まないネットショップ関連法律 - [ネットショップをはじめよう]All About
ネットショップをはじめよう ガイド:尾形 智美 ネットショップの始め方を、基礎から分かりやすく解説していきます。 提供:GMOインターネット 取材依頼 問合せ 文章 : 和田 基志(All About「ネットショップをはじめよう」前ガイド) ネット上に限らず、商品を販売するにあたって、守らなければいけないいろいろな取り決めがあります。たとえば「5ページあればネットショップは動く」で取り上げたように、ネットショップではサイト内に販売業者名、住所、電話番号などを表示しなければいけません。これは、特定商取引法に基づいた義務です。 また、古物や食品、輸入商品など扱う商品によっては、法律に基づいた届出や許可が必要です。そこで今回は、そんな法律知らぬ…じゃ済まないネットショップに関連する法律を取り上げます。 販売商品に関わる法律 ネットショップを開始するために特に許認可等を受け
PHPのセッションをDBに格納するチュートリアル:phpspot開発日誌
Chris Shiflett: Guru Speak: Storing Sessions in a Database While the default session storage mechanism is adequate for many PHP developers, you might find yourself wanting to modify its behavior from time to time. One of the most common reasons for wanting to change the default behavior is to store sessions in a database rather than the filesystem. The top reasons for this desire are: PHPのセッションをDB
まちがった自動ログイン処理
(Last Updated On: 2018年8月20日)問題:まちがった自動ログイン処理の解答です。このブログエントリは最近作られたアプリケーションでは「問題」にしたような実装は行われていないはず、と期待していたのですがあっさり期待を破られたのでブログに書きました。このブログの方が詳しく書いていますけが「Webアプリセキュリティ対策入門」にも正しい自動ログイン処理を書いています。 参考:自動ログイン以外に2要素認証も重要です。「今すぐできる、Webサイトへの2要素認証導入」こちらもどうぞ。HMACを利用した安全なAPIキーの送受信も参考にどうぞ。 間違った自動ログイン処理の問題点 まず間違った自動ログイン処理を実装しているコードの基本的な問題点を一つ一つ順番にリストアップします。 クッキーにランダム文字列以外の値を設定している クッキーにユーザ名が保存されている クッキーにパスワードが保
cyano: HTTPSの認証ページから認証後、HTTPのページへセキュリティーの警告無しにリダイレクトする方法
普通に考えると、パスワードを認証後のHTTPレスポンスヘッダ(*1の部分)で Location: http://www.exmaple.com/logined.html とかすればいいんじゃないの?と思うのですが、そうするとIEで「セキュリティーで保護されていないページに移動しようとしています」というような警告ダイアログが出てきてしまいます。 そんな警告ダイアログが出るのはユーザーフレンドリーじゃないので、それを防ぐ方法。 解決方法は簡単で、レスポンスヘッダで対応できないならレスポンスボディーで対処すればOK(Yahoo!なんかもこの方法を使っているようです)。たとえば、認証後、*1のところで以下のようなHTMLを返してあげれば、ブラウザがHTTPなページにリダイレクトしてくれるわけです。 <html> <head> <meta http-equiv="refresh" content="
アタッシェケース
日常的に使うことを想定し、見た目のシンプルさと簡便な操作性に注力しながらも、世界標準の暗号アルゴリズム(AES)としても有名な“Rijndael”を採用した、強力なファイル/フォルダ暗号化ソフトです。
うっかりだまされてしまう8つの質問
ソーシャルエンジニアリングが使われた事例を分析すると、幾つかのパターンが存在していることが分かる。プロの詐欺師は、状況に応じて複数のパターンを組み合わせている。情報を盗まれないためには、個別の攻撃パターンを理解することが役に立つ。 これは、フィッシング詐欺で使われる最も簡単なメールの一文だ。この文を読んで「こんな言葉にだまされない」と思ったのではないだろうか。だが、この一文にはソーシャルエンジニアリングで使われるパターンを見つけることができる。ここには、金融機関からの電子メールを思わせる「ネームドロップ」、期間を限定する「ハリーアップ」といった手法が使われている。プロの詐欺師はこのようなパターンを複数組み合わることで、相手の信頼を獲得し、必要な情報を引き出すのである。 それではソーシャルエンジニアリングで用いられる攻撃パターンを分類し、特徴を説明しよう。 きっかけを探し出す「トラッシング(
PHPのSession Fixation問題
(Last Updated On: 2006年10月24日)PHPのセッション管理はセッションの固定化(Session Fixation)に脆弱であることは広く知れらていると思っていました。先日、php-users(ja)のMLに「Hardened PHPプロジェクトのStefanさんのパッチにSQLite Sessionモジュール用のセッションセーブハンドラパッチを追加したパッチを公開しました」と投稿しました。しかし、ダウンロード数等から推測するとセッションの固定化のリスクが正しく認識されていないのではないかと思えます。 セッション固定化のリスクを分かりやすく説明するには具体的な攻撃のシナリオを紹介した方がわかり易いのでいくつか説明します。以下の説明はデフォルト状態のPHPインストールでSession Fixation対策を行っていないのPHPアプリケーションに対して可能な攻撃の一例です
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Tera Termの詳細情報 : Vector ソフトを探す!
404 Not Found - 遠井保険
安全なWebアプリ開発の鉄則 2004
JavaScript++かも日記 - 1997年からの