SQLインジェクションしようとしたアクセスを弾く - Qiita
(プログラム側で入力値チェックやエスケープしているものとする) QUERY_STRINGに不正な文字が来たらサーバーのリソースを使わせるのはもったいないため 即座に終了させる。(毎分延々とアクセス来たりするため) 海外のサーバー50台からアクセス来てた。 // (, by ,' が来たらdie() if(preg_match('/(\(|%28|%20[Bb][Yy]%20|\'|%27)/',$_SERVER['QUERY_STRING'])){ header("HTTP/1.0 404 Access denied."); die("your access has been blocked."); } ?hoge=fuga' ?hoge=fuga' AND BENCHMARK(2999999,MD5(NOW())) GrOup BY 20& ?hoge=fuga' And sLEEp(3
日本テレビWebサイトへの不正アクセスについてまとめてみた - piyolog
日本テレビ放送網株式会社は4月21日、同社Webサイトが不正アクセスを受け、個人情報が漏えいした可能性があると発表しました。ここでは関連情報をまとめます。 公式発表 日本テレビ放送網 2016年4月21日 弊社ホームページへの不正アクセスによる個人情報流出の可能性について(魚拓) 2016年4月21日 [PDF] 弊社ホームページへの不正アクセスによる個人情報流出の可能性について 概要 2016年7月14日 弊社ホームページへの不正アクセスに関する調査委員会による調査結果のお知らせ (魚拓) フォアキャスト・コミュニケーションズ 2016年7月14日 不正アクセスによる個人情報流出に関するお詫びとご報告 (魚拓) 自社報道 2016年4月21日 日テレHPに不正アクセス 個人情報流出か(魚拓) インシデントタイムライン 不正アクセス関連 日時 出来事 2016年4月20日13時39分 日本
日テレのサイトから43万件の個人情報が流出か
日本テレビホールディングスは4月21日、日本テレビ放送網のWebサイトに不正アクセスがあり、個人情報約43万件が流出した恐れがあると発表した。 流出した可能性があるのは一部の応募フォームから投稿されたもので、氏名、住所、電話番号、メールアドレスなどが含まれる。クレジットカード情報はないという。現在、流出した恐れがあるユーザーへの連絡を進めている。 同社によると、4月20日午後1時ごろからサイトに対し、ソフトウェアの脆弱性を突いた不正アクセスがあった。ログを解析したところ、OSに対する命令文を紛れ込ませて不正操作する「OSコマンドインジェクション」という手法で攻撃されたことが分かったという。 21日未明までに問題のソフトを削除し、データを安全な保存場所に移動させるなどの対策をとったという。外部の専門家による調査委員会を設けて原因を究明し、再発防止に向けセキュリティ対策を講じるとしている。 関
Are there compatibility issues with SHA-2? | DigiCert FAQ
Streamlined Certificate Management and Automation: Delivering At-Scale Uptime and Availability
SiteGuard WP Plugin
管理ページアクセス制限 管理ページ(/wp-admin/以降)に対する攻撃から防御するための機能です。ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを、404(Not Found)で返します。ログインすると、接続元IPアドレスが記録され、当該ページのアクセスを許可します。24時間以上ログインが行われない接続元IPアドレスは、順次削除されます。この機能を除外するURL(/wp-admin/以降)を指定することができます。 ログインページ変更 ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。ログインページ(wp-login.php)の名前を変更します。初期値は、「login_<5桁の乱数>」ですが、お好みの名前に変更することができます。 画像認証 ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃や、コメン
WordPress、深刻な脆弱性を修正 XSS攻撃の恐れ
WordPress 4.0.1ではXSSの脆弱性などが修正された。悪用された場合、Webサイトをハッキングされたり、クロスサイトリクエストフォージェリ(CSRF)攻撃を仕掛けられたりする恐れがある。 ブログ作成ソフトの更新版となる「WordPress 4.0.1」が11月20日に公開された。クロスサイトスクリプティング(XSS)などの深刻な脆弱性が修正されており、ユーザーに対して自分のWebサイトを直ちに更新するよう呼び掛けている。 WordPressのブログによると、WordPress 4.0.1では3件のXSSの脆弱性を含め、計8件の脆弱性を修正した。悪用された場合、Webサイトをハッキングされたり、クロスサイトリクエストフォージェリ(CSRF)攻撃を仕掛けられたりする恐れがある。脆弱性は3.9.2までのバージョンに存在する。 更新版は、自動更新を有効にしていれば自動的に配信される。脆
MD5値を返すExcelUDF(Test Version) - 気晴日記
MD5値を返すExcelUDF(過去記事)から結構時間が掛ってしまったが、とりあえず。 なぜ時間が掛ったかというと、Excel2007とExcel2003以前の両対応にしたから。 #内部で使ってる自作クラスは未完成だけど・・・ 本当は、1ページ使って公開するところなんだけど、予定完成形までにはまだいろいろと必要なので、ブログ記事として出しておく。 使いたいならばどうぞっちゅうことで。 ただし、使用により、困ったことがあっても知らん、けどコメントくだされば対応したい。 「20090328_ExcelAddin.zip」をダウンロード 解凍してできるxllファイルをExcelのアドインとして登録します。 #登録方法がわからなければ、わかる人に聞くとか、コメントください。 MD5カテゴリに、FILE2MD5、MBSTR2MD5、WCSTR2MD5の3関数が登録されます。 MBSTR2MD5:渡さ
Qualys SSL Labs
HOW WELL DO YOU KNOW SSL? If you want to learn more about the technology that protects the Internet, you’ve come to the right place. Books Bulletproof SSL and TLS is a complete guide to deploying secure servers and web applications. This book, which provides comprehensive coverage of the ever-changing field of SSL/TLS and Web PKI, is intended for IT security professionals, system administrators, a
Apache/SSL自己証明書の作成とmod sslの設定 - maruko2 Note.
Apache/SSL自己証明書の作成とmod sslの設定 提供:maruko2 Note. < Apache 移動: 案内, 検索 目次 1 手順 2 秘密鍵の作成 (server.key) 3 CSR(証明書の基になる情報)の作成 (server.csr) 3.1 入力項目の例 4 証明書(公開鍵)の作成 (server.crt) 5 Apache mod_ssl の設定 6 Apache 起動時にパスフレーズの入力を省略する 6.1 秘密鍵 (server.key) ファイルをあらかじめ復号化しておく方法 6.2 Apache起動時のパスフレーズ入力を自動化する方法 7 参考ページ 8 Apache 関連のページ 手順 2017年1月1日以降、SSL 証明書の署名アルゴリズムとして SHA-1 を使用している証明書は SSL 通信ができなくなる。 これは、Windows製品、Goog
患者450万人の個人情報流出、発端はOpenSSLの脆弱性だった
米病院チェーンから患者450万人の個人情報が流出した事件は、4月に発覚したOpenSSLの重大な脆弱性を突く攻撃でネットワークに侵入されていたことが分かった。 米病院チェーンのCommunity Health Systems(CHS)社から患者約450万人の個人情報が流出した問題で、米セキュリティ企業TrustedSecは8月19日、4月に発覚した「Heartbleed」と呼ばれるOpenSSLの重大な脆弱性を突く攻撃が、流出の発端だったことが分かったと伝えた。 CHSのネットワークは4~6月にかけて外部から攻撃され、系列の医療機関を受診した患者約450万人の氏名や住所、社会保障番号などが流出したとされる。TrustedSecは、この問題に関する調査に詳しい関係者から情報を入手したという。 それによると、攻撃者はHeartbleedの脆弱性を突いてCHSのJuniper製デバイスのメモリか
EmEditor更新時にマルウェア感染の可能性があったIPアドレスを調べてみた - piyolog
8月18日にEmurasoftは同社が開発、販売しているテキストエディタ「EmEditor」において、ソフトウェアの更新機能を使用した際にマルウェアに感染する可能性があったことを発表しました。ここでは関連情報をまとめます。 概要 8月13日にEmurasoftが同社のWebサイトが不正アクセスを受け、情報が漏えいした可能性があることを発表しました。さらにその5日後の8月18日にEmEditorの更新チェックを行った際にマルウェアに感染する可能性があったことを発表しました。尚、この記事中の日付は日本時間として記述していますが、前後している可能性もあり参考程度として下さい。 公式発表 Emurasoft Webサイト 不正アクセス関連 本サイトのハッカーによる攻撃について クリーン アップ作業が終了しました EmEditor 更新チェックによるマルウェア感染の可能性関連 EmEditor 更新
WordPressの5つの主要セキュリティプラグインを詳細に比較してみた | 株式会社LIG(リグ)|DX支援・システム開発・Web制作
どうもコンニチワ、セミの鳴く季節に突入し、ますます外出したくないライターのモリイです。 本業ではWordPress専用のセキュリティ診断サービスを運営しているため、常日頃からWordPressユーザーの皆様のお役に立つセキュリティ対策を提供することを心掛けているのですが、みなさまがよく利用されているセキュリティpluginについては、以下のようなお悩みをよく耳にします。 「何ができるのか?」 「何ができないのか?」 「何が不足してどうすれば補うことができるのか?」 そこで、上記の内容について、以下でまとめてみました。今回の検証はかなり時間を要するものになりましたが、ご覧いただければ幸いです。 なお、今回検証したWordPress、およびセキュリティ対策プラグインのバージョンは以下のとおりです。(2014/07/22現在) WordPressバージョンやpluginバージョンにより設定可能な
WordPressの脆弱性診断サービス、月額7980円でレオンテクノロジーが開始
レオンテクノロジーは2014年7月16日、WordPressで構築したWebサイトの脆弱性をリモートからWebアクセスを介して診断するサービス「KYUBI」を発表、同日提供を開始した。WordPressの既知の脆弱性と照らし合わせ、脆弱性を指摘するとともに解決策を提示する(写真1、写真2)。価格(税別)は、月額7980円。販売目標は1500サイト。 KYUBIは、Web CMS(コンテンツ管理システム)であるWordPressのソースコードに含まれるセキュリティ上の脆弱性を診断し、対策方法とともに診断レポートの形で提示するサービスである。WordPress本体、プラグイン、テーマの三つの要素について脆弱性を調べる。レオンテクノロジーの実績値では、WordPressを使ったWebサイトには、平均して20件程度の脆弱性が含まれる。 Web画面から、診断したいサイトURLを指定するだけで、その場
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
[Linux]ニフティクラウドのCentOS 6.2でSymantec Endpoint Protectionを使う
外部からの不正ログイン、不正アクセスを防ぐWordPress向け無料プラグイン(JP-Secure) | ScanNetSecurity
mobile-univ.com
無線LANのメール丸見え 成田、関西、神戸の3空港:社会:中日新聞(CHUNICHI Web)
WordPressのログイン・管理画面にBasic認証をかけるプラグイン「WP Admin Basic Auth」を作りました
Version 3.8.4
WordPress本体に脆弱性、至急アップデートを |