Apache HTTPD: `Options -FollowSymLinks` は不完全 - ダメ出し Blog
シンボリックリンク攻撃を防ぐための Apache HTTPD モジュールの解説はこちら: Apache HTTPD: mod_allowfileowner https://fumiyas.github.io/apache/mod-allowfileowner.html 背景 ロリポップの共有 Web サービス下のサイト改ざん事件で、 攻撃手法の一つとして 「他ユーザー所有のファイルへのシンボリックリンクを自分のコンテンツディレクトリ下に作り、Apache HTTPD 経由でアクセスする」手順が利用されたらしい。 参考: http://blog.tokumaru.org/2013/09/symlink-attack.html 当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について http://lolipop.jp/info/news/4149/#090
僕が半年で15人と“サシ飲み”をやってみて気づいたこと - Huuuuの柿次郎ブログ
このブログを作るきっかけとなった“サシ飲みシリーズ”ですが、約半年間(2012年10月〜2013年3月)に渡ってお誘いしたのは15人。このサシ飲みで初めて対話する人が大半で、30歳の礎となる考え方や価値観を見つめ直せた貴重な体験でした。 しばらく休止していたんですが、第2部的な始動の前に一度“サシ飲みをやってみて気づいたこと”をまとめてみようかなと。ちなみに僕のサシ飲みは、アウトプット前提なので少し意味合いが異なるかもしれません。 ◉自分プレゼンの修行の場になる 基本的にこれまで接点のなかった年上の人と飲むのが“サシ飲み”の醍醐味。これまでの経験値や思考の引き出しの多さがぜんぜん違うので、胸を借りるつもりで話し始めます。まず「自分はどういった人間なのか」「どういう環境で働いているのか」「今後、どう成長したいのか」など、自分自身の人となりを客観的に捉えて、相手に伝えなければいけません。これっ
第1回ElasticSearch勉強会を開催しました! #elasticsearchjp
ElasticSearch勉強会 第1回を主催しました。 昨年のpyfesでなんちゃって資料で喋って、1年たちました。 ElasticSearchの書籍(英語)も出てきて、今年はElasticSearchが面白くなりそうだし、使ってる人たちから話も聞きたいなぁということで、主催しました。 思った以上に興味のある方がいらっしゃったようで、100人応募のところ、チケットがすぐ完売してしまうほど。。。 しかも、当日もほぼ満員ということで、大変な盛況ぶりでした。 スピーカーの皆様、参加された皆様、会場を提供していただいたリクルートテクノロジーズさん、ありがとうございました!(たぶん、90人くらいいらっしゃってたかと。) こんなステキな案内板も用意してもらいました。スタッフのみなさんありがとうございます! トゥギャっても頂きました。まとめていただいてありがとうございます! 自分の発表や個々の発表に関
apache-loggen + fluentd + elasticsearch + kibana = ログ検索デモ
もう何番煎じだ?ってくらい書かれてますが、コリもせず書いてみました。 Elasticsearch+Kibanaの環境を作って、タムタムさんのログ生成ツールからApacheのダミーログを流しこんで入れてみました。 参考URL memorycraftさんのブログ Kibana Elasticsearch fluentd apache-loggen インストールと起動 今回はCentOSへのインストールです。 基本的にはmemorycraftさんのブログの流れのままです。 elasticserchのインストールと起動 ダウンロードして、起動するだけ。 お試しということで、-fオプションにてコンソールにログ出力。 curl -OL https://download.elasticsearch.org/elasticsearch/elasticsearch/elasticsearch-0.90.1.
ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策
既に報道されているように、ロリポップ!レンタルサーバーに対する改ざん攻撃により、被害を受けたユーザー数は8428件にのぼるということです。ここまで影響が大きくなった原因は、報道によると、(1)「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされた、(2)パーミッション設定の不備を悪用されて被害が拡大した、ということのようです。 29日夜の時点では、攻撃者の改ざん手法について「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされて「wp-config.phpの」の設定情報が抜き出されたと説明していたが、30日午後7時過ぎの説明で、この脆弱性が侵入経路となって同社のパーミッション設定の不備を悪用されたことが原因だったことを明らかにした。 「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備
ギャルでもゎかる自作PC
市販のPCケースをっかゎずにPCを組むと、 PCの電源を入れるスイッチがなぃ、て問題に直面! てことで、それをなんとかしてぃくょ! 右にぁるのゎ、 PCの電源のON OFFスイッチと、リセットスイッチ、 ぁと状態がゎかるLEDが、ぜんぶ揃ってくっつぃてるケーブル! CRAM WORKSってとこので、amazonで買ったょ クラムワークス PCマザーボード用 スイッチ & LED ←これね 実ゎほかにもにてるちがぅゃっ買ってたんだけど、 ケーブル部分の取り回しのしゃすそーだから、これにした! 左のゎ、右のバラ②になってるコネクタをまとめてくれるゃっ このライトゎ、たぶんだけど渋谷センター街のダイソーで買った もしくゎ渋谷東急ハンズの向かぃのキャン★ドゥ こんなのを、なにに使ぅかゎ…、この後すぐゎかる! ひとまず、どっちのライトも、とにかく分解!! 分解して取れた、この、ペコ②へこむ、ゃゎらか
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
