これは何 以下記事のアンサーブログです。 qiita.com 以下のことはコメントに書いたんですが、書ききれなかった部分もあったり整理したほうがいいなと思い記事に起こしています。 現代のアプリケーションではC10K問題よりも先にDBやアプリケーションのボトルネックが先に来るため、C10K問題に遭遇するよりも先にやることがある ミドルウェアとしての成り立ちから設定ファイルの書き方に至るまで、それぞれのソフトウェアで思想が根本的に異なるので、単なるパフォーマンス比較をしてもあまり意味がない NginxとApacheの違いをC10K問題を中心に語るのは時代が違う この記事に限らず、多くの「Nginx vs Apache」系記事では「ApacheはC10K問題を抱えている」という論理をベースにそれぞれの違いを表現しています。 が、これは2022年においては(実際にはもっと前からですが)既に事実では
WordPressを運用中のサーバがまるごとPHPマルウェアに感染していた時の対応メモ - Qiita
(2021.1.26 追記) 本稿の続きを書きました。 時系列で見る:WordPressを運用中のサーバが丸ごとPHPマルウェアに感染する流れ https://qiita.com/Ayutanalects/items/e7919afadc7d8394820f 制作会社から「自社で管理中のサイトがおかしい」との連絡を受けて、 中をのぞいたら、PHP製の複数種類のマルウェアに感染していたので対応をメモ。 以下の内容は、あくまでも自分の対応時のものです。 攻撃者がスクリプトを変更すれば同じ方法では検出できなくなるのでご注意ください。 初期状態 症状 自社管理中のWordPressサイトにアクセスすると、全く知らないサイトにリダイレクトされる 今回は allc〇〇ling.shop というEC風サイト。Kasperskyを使っていると、「警察機関指定の危険サイト」の警告あり https://sup
0 issue "letsencrypt.org" 0 issuewild "letsencrypt.org" 0 iodef "mailto:yourmail@example.jp" §OS再インストール さくらVPSのコントロールパネルから、OSを再インストールするサーバを選ぶ。 www99999ui.vs.sakura.ne.jp §OSのインストール操作 Ubuntu 22.04 LTS を選ぶ。 OSインストール時のパケットフィルタ(ポート制限)を無効にして、ファイアウォールは手動で設定することにする。 初期ユーザのパスワードに使える文字が制限されているので、ここでは簡単なパスワードにしておき、後ですぐに複雑なパスワードに変更する。 公開鍵認証できるように公開鍵を登録しておく。 §秘密鍵と公開鍵の作成 クライアントマシン側で生成した公開鍵を ~/.ssh/authorized_k
正しいIT用語の読み方
最近の若者は物を知らない。 IT企業に就職したのに、IT用語の読み方を間違える恥ずかしいやつが多くて困る。 新入社員でもこれぐらいは抑えておいてほしい。 nginx: んぎぃぃっんくすhtml: はとむるAlt: あるとhidden: ひでんheight: へいとnull: ぬるUbuntu: うぶんつPHP: ぺちぷUPnP: うぴんぴPPPoE: ぽぽぽえーIEEE: いえぇぇーHDMI: はどみUSB: うさびーWi-Fi: うぃっふぃーLaTeX: らてっくすPython: ぴちぉんDjango: どじゃんごNode: のでVue: ぶえーAngular: あんぐらGitHub: ぎふはぶSourceForge: そーすふぉげQiita: ちーたーPRML: ぷれもるGAN: ぎゃんDQN: どきゅんMCMC: もこもこASUS: あざっすAirBnB: えあぶんぶApp: あぷぷ
【2019年】CTF Web問題の攻撃手法まとめ (Web問題のwriteupぜんぶ読む) - こんとろーるしーこんとろーるぶい
CTF Advent Calendar 2019 - Adventarの25日目の記事です。 1つ前は@ptr-yudai氏の2019年のpwn問を全部解くチャレンジ【後半戦】 - CTFするぞでした。 はじめに 対象イベント 問題数 読み方、使い方 Cross-Site Scripting(XSS) SVGファイルを利用したCSPバイパス GoogleドメインのJSONPを利用したCSPバイパス サブリソース完全性(SRI)機能を利用した入力チェックバイパス Chrome拡張機能のパスワードマネージャーKeePassの悪用 HTML likeコメントを使用したコメントアウト jQuery.getJSONのJSONP機能を使用したスクリプト実行 DOM Clobberingによるコードハイジャック Service Workerを利用したスクリプト実行 XSS Auditor機能のバイパス
Web・コーディング界隈で読み間違いしやすい用語一覧
日本人向けの記事のため表記がカタカナとなっております。そのため完全に正確な英語の発音を保証しているわけではございませんのでご了承ください。(より正しい発音が気になる方は各自で発音記号をお調べください。) また私自身は帰国次女でもない純粋な日本人&英語力凡人レベルです。明らかに間違っているものがありましたらコメントやTwitterなどでご指摘ください。 もちろん他にもこれが間違いやすいよ、という用語もあればお待ちしております🙏 ❓がついてるのは決めきれないorネイティブでも揺れがあるor議論が必要 なものです。 a11y エイイレブンワイ absolute アブソルート Adobe アドビ Airbnb エアビーアンドビー ajax エイジャックス align アライン(text-align テキストアライン など) AMP(Accelerated Mobile Pages) アンプ An
何故Javaは敬遠されるのか? - Qiita
何故かJavaは敬遠される!? 筆者はIT業界に努めて17年ほどです。 SESとして働きに出ることが多かったのですが、近年はWebエンジニアとして PHP(Laravel)を使った開発が多くなってきています。 そんな開発現場ですが、プログラミング言語の話題に上がると 「Javaはわからない」 「Javaって難しいんでしょ?」 「環境構築がなぁ・・・」 なんて話をよく聞きます。 私はJavaの方が経験した期間が長かったので、特にそういった苦手意識は無いのですが Laravelの現場でもそういった話を聞くので、 「フレームワークの特性や、コードの書き方は結構似ているところが多いのに、何でみんな苦手なんだろう?」 と思ってしまうのです。 今回はそのギモンについて、私が思っていることを書いていきます。 (注:Java嫌いな人を論破したいわけではありませんw) 原因その1:インフラ構造上、難しいと思
Publickeyのサーバは3月12日から14日にかけて何度もDoS攻撃を受けてダウンしていました。 その間、読者や広告を掲載いただいているお客様や代理店様にご不便やご心配をおかけし申し訳ありませんでした。 ひとまず現在までの状況と対応について報告したいと思います。 先に現状のみを報告すると、CloudflareのDDoS対策サービスを導入していまのところ平穏な状況を保っているため、このまま様子をみているところです。 DoS攻撃の発生時間帯 DoS攻撃とは、大量のトラフィックをWebサーバなどに浴びせることでサーバを応答不能にしてしまう攻撃のことです。 下図が3月12日から14日にかけてPublickeyのサーバに対して行われたDoS攻撃の主な発生時間帯です。 グラフはPublickeyのページビューの推移を示しており、横向きの矢印が主なDoS攻撃の発生時間帯を示しています。発生時間帯では
ロリコンオタクのせいで日本人がネットから排除されていた
はてな村村長の語りに便乗して昔話しちゃおうかな 結構多くのWEBサーバのアクセス制限で.co.jp .ne.jp .jpがdeny設定されていたって話である。 https://b.hatena.ne.jp/entry/s/twitter.com/kanose/status/1601270223386324992 2005年までの個人サイト&自宅サーバブーム個人のネット利用で大きな転換点は2005年くらいで、例えばブログのはしりのはてなダイアリーサービス開始は2003年でアルファブロガー選考開始は2004年、youtubeサービスインが2005年だが、これらの特徴は「アカウントをとって企業のWEBサービスを利用する」という、今では当たり前の方法だ。 だがこの以前にはそういう方式のものは少なく、ISPや借りたレンタルサーバに自分でコンテンツをアップロードして構築するというのが主流だった。 これ
ベイジでエンジニアをしている野村です。 ベイジには2012年の新年ともに入社し、WordPressやMovable TypeなどのCMSのカスタマイズなど、サーバーサイドの開発を中心に行っています。今後もそのあたりの情報を発信していきたいと思います。 今回は、WordPressについて。 WordPressはブログシステムというより、もはやCMSといっていいでしょう。インストールなどの設定も簡単、自由にカスタマイズできるプラグインやデザインテーマも豊富、何よりオープンソースで無償、ということで世界中で広く使われています。 このように数多くのメリットがあり、コストパフォーマンスが非常に高いWordPressですが、最近、セキュリティ上の問題を理由に、WordPressの使用を禁止している企業にしばしば出会います。 確かにWordPressは特別セキュアなCMSではありませんが、他の多くのCM
Online Hacker Simulator
C:\GOV\TopSECRET │ .compile-cache │ .htaccess │ boot.md │ kernel.bin │ boot.ini ├─application │ │ encryptor.bin │ │ filters.bin │ │ routes.exe │ │ └─security │ │ vuln_go.exe │ │ penetrate.log │ ├─config │ │ │ _controller.md │ │ │ application.exe │ │ │ auth.bin │ │ │ cache_log.crt │ │ │ dtbs.exe │ │ │ session.bin │ │ └─admin │ │ application.exe │ │ error.bin │ │ session.exe │ ├─controll
以前から自宅で練習がてら作りたいwebアプリがあって、慣れたやり方で作った後、vue.jsを導入してみるとか、pythonで作り直してみるとかそういうことをしようと画策していた。それでメモがてらevernoteに構成書いていって、そろそろやるかと思って自宅のMacを取り出す。 ひとまず「いつものスタイル」みたいなのを用意してからじゃないと、新しいことを学び始めると心が折れると思ったので、MacでできるLravel+Dockerらくらくセットみたいなのをネットから拾ってきたのよ。こういうのは本当にらくらくで、「最初のページ」をブラウザで開くまではらくらくそのものなわけ。 さてブラウザでapache確認したし、まずはDBから取り掛かるかと、シコシコとmigration(コマンド一発でDBができる)を書いた。あらかた書けたのでコマンドオンってするとエラーで通らない。色々調べて2時間ぐらい経って解
サーバーレス LAMP スタック – Part 3: Webサーバーの置き換え | Amazon Web Services
Amazon Web Services ブログ サーバーレス LAMP スタック – Part 3: Webサーバーの置き換え 本投稿は AWS サーバーレス アプリケーションのシニアデベロッパーアドボケートである Benjamin Smith による寄稿です。 本シリーズの他のパートは以下のリンクからアクセスできます。また、関連するサンプルコードはこちらの GitHub リポジトリにあります。 パート1:サーバーレス LAMP スタックの紹介 パート2:リレーショナルデータベース パート4:サーバーレス Laravel アプリの構築 パート5:CDK コンストラクトライブラリ パート6:MVC からサーバーレスマイクロサービスへ この投稿では、Web サーバーを使用せずにサーバーレス PHP アプリケーションを構築する方法を学びます。 この投稿の後半で、bref および Serverle
SECURITY IS AWESOME SECURITY IS AWESOME I write about security and privacy. I regularly post original security research, custom tools, and detailed technical guides. Companies selling "security scorecards" are on the rise, and have started to become a factor in enterprise sales. I have heard from customers who were concerned about purchasing from suppliers who had been given poor ratings, and in a
1. 始めに こんにちは、morioka12 です。 本稿では、バグバウンティの入門として、主に Web アプリケーションを対象にした脆弱性の発見・報告・報酬金の取得について紹介します。 1. 始めに 免責事項 想定読者 筆者のバックグラウンド Start Bug Bounty Bug Bounty JP Podcast 2. バグバウンティとは バグバウンティプラットフォーム Program Type Private Programs VDP (Vulnerability Disclosure Program) Asset Type 3. プログラムの選び方 Scope OoS (Out of Scope) 4. 脆弱性の探し方 (初期調査編) Subdomain Google Dorks Wayback Machine Wappalyzer JS Analyze [Blog] Java
ツイッターライクなSNS「Nostr」を Damus アプリで使う。初期の設定と、認証バッジを付ける手順 イーロン・マスク氏がツイッターを買収して以来、APIが有料化されて多くのツールが終了の危機を迎えたり、大量のユーザーが突然凍結されて不穏な空気が広がったり、先行きが不安になるできごとが続いています。 そうしたなか、ツイッター以外のSNSを模索する動きも始まっていて、すでにマストドンがユーザーを多く獲得しつつあります。ちなみに私はいまのところ @meh@mstdn.jpでつぶやいていますが、近日中に自分のサーバーを立てようかとも考えています。 それ以外にもPost、PlanetaryなどといったSNSがいろいろありますが、元ツイッターCEOのジャック・ドーシー氏が出資したことで知名度の上がったNostrについて、最近 iOS クライアントDamusが公開され、一部で話題になっています。
先日、私がワードプレスで運営しているサイトでサイバー攻撃を受けました。 サイトのいくつかのファイルが改ざんされ、管理系ページにアクセスできない状態に陥りました。 その後、なんとか復旧できたものの、インシデント対応中は生きた心地がせず、手の震えと動悸が凄まじかったです。 今回サイバー攻撃による障害の経験から学んだ、サイバー攻撃に備える7つの心構えを説明します。 ※本記事は個人開発でサービスを運営している方や、1人でシステム担当を行っている人を対象にした記事です。 いきなりサイトアクセスが403エラー 私は個人でレンタルサーバーを借りてワードプレスで構築したサイトをいくつか運営しています。 その中のうち、ある特化ジャンルの情報を発信しているサイトの管理画面にアクセスした時、異変が起きました。 403エラーです。 はじめはレンタルサーバー側のトラブルを疑いました。 しかし、ユーザー向けの記事ペー
この記事は アノテーション株式会社 AWS Technical Support Advent Calendar 2022 | Advent Calendar 2022 - Qiita 8日目の記事です。 はじめに アノテーション テクニカルサポートチームの Shimizu です。 CloudFront + S3 で構成した静的 Web サイトはサーバーレスで管理が楽なため、ご検討される方も多いでしょう。 一方で従来のWebサーバーの運用に慣れている方は少し戸惑うかもしれません。例えば慣れ親しんだ .htaccess ファイルが無いため「S3 でこの設定ってどうやるの?」という疑問にぶつかることもあると思います。 そこで本記事では、実際によくいただくお問い合わせを元に、CloudFront + S3 の Webサイト構築時に役立つ情報をまとめてみました! S3 バケットへの直接アクセスを禁止
HTML 文書内に <meta charset="UTF-8"> を書いていますか? 書いているとしたら、その必要性を問われた時に理由を説明できますか? 実は私も勘違いしていた部分があり[1]、改めてまとめてみました。 <meta> による文字エンコーディング指定の歴史 Content-Type ヘッダーと <meta> の関係性と優先度 <meta> が必要なケース <meta> で文字エンコーディングを指定するデメリット <meta> による文字エンコーディング指定の歴史 § まず基本的なおさらいをします。<meta charset="UTF-8"> は HTML5 で登場した新しい記法で、 HTML4 以前は <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> などという長くて覚えにくい書き方をしてい
失敗しないCMS移行の7つのステップ。WordPressからはてなブログMediaへ移行してみた - はてなビジネスブログ
この記事では、WordPressでの運用に課題があり、CMSの移行を検討している方向けに、「CMS移行の7つのステップ」と「実際にWordPressから移行した方法」をお届けします。 ■この記事の対象となる人 オウンドメディアをWordPressで運用しており、現CMSへの課題が顕在化している担当者(編集長・情報システム担当) ■この記事のポイント CMS移行のタイミングを見極めよう CMS移行の7ステップの紹介 実際にWordPressからはてなブログMediaへ移行してみた 目次 CMSを移行すべきタイミングとは CMS移行の7ステップ 1.概要資料 2.要件定義書・RFP 3.新旧CMSの機能比較表 4.移行作業一覧・スケジュール 5.既存コンテンツの棚卸し 6.移行作業 7.確認作業 実際にWordPressからはてなブログMediaへ移行してみた どのような状態のWordPres
発見した0dayについての技術的解説 - EC-Cube, SoyCMS, BaserCMS - Flatt Security Blog
※このブログは、セキュリティエンジニアのstyprが英語で書いた文章を翻訳し、社内で監修したものになります。 こんにちは。株式会社Flatt Securityのstypr (@stereotype32)です。 以前公開した記事「Flatt Securityは“自分のやりたいことが実現できる”場所/セキュリティエンジニア stypr」でお話した通り、私は現在Flatt Securityで0day huntingとセキュリティの診断をしています。 私は 5月に入社してから 0day hunting の業務に取り組んでいます。他の面白い業務と並行して取り組んでいるので、一つの製品にかけている時間は、最低1日からせいぜい1週間程度です。 結果、これまでの間、私はかなり多くのOSS脆弱性を見つけてきました。そこで今回の記事では、現在までに修正された脆弱性のうち、技術的に面白い選りすぐりのものを解説し
今、お問い合わせフォーム(メールフォーム)が危ない! 不正アクセスの増加と対処方法 | さくらのナレッジ
メールフォームへの不正アクセスが急激に増えてきています この半年~1年の間に、メールフォームを悪用した迷惑メール送信の被害が相次いでいます。これはどのような事かというと、まずメールフォームには、記入した内容を記入者にメールで自動返信する機能が備わっていることが多いです。このとき、メールフォームのメールアドレス欄には記入者自身のアドレスを入力するのが正しい操作ですが、悪意のある第三者がこれを利用し、メールアドレス欄に他人のアドレスを入力して迷惑メールを送信するという攻撃手法です。(参考記事: サイトの「問い合わせフォーム」を悪用する攻撃に警戒を) 少なければ一日に5~10件、多いケースでは一日に数千件の迷惑メールが送信される事がありますが、このような問題が起こると他人に迷惑がかかるだけではなく、サーバが持つIPアドレスの評価が下がったりブラックリストに登録されたりしてしまいます。IPアドレス
意味不明な内容によるハッキングを解決する コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 このガイドは、大量のキーワードを含む意味不明なコンテンツをサイトに追加するタイプのハッキング(Google では「意味不明な内容によるハッキング」と呼びます)を対象としています。一般的なコンテンツ マネジメント システム(CMS)のユーザーを対象としていますが、CMS を利用していなくてもこのガイドは役立ちます。 このガイドがお役に立てば幸いです。 フィードバックをお寄せください。機能の改善に役立てさせていただきます。 このタイプのハッキングを特定する 意味不明な内容によるハッキングでは、キーワードが埋め込まれた意味不明なページがサイト内に大量に自動生成されます。これらは、自分で作成していないものの、ユーザーがクリックしたくなる可能性のある URL を持つページです。
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Re: NginxとApacheって何が違うの?? - inductor's blog
Ubuntu 22.04 LTS サーバ構築手順書
Publickeyが受けたDoS攻撃、これまでの経緯と対策まとめ
簡単にできるWordPressのセキュリティ対策×12 | knowledge / baigie
おじさんプログラマの学習曲線 - フロイドの狂気日記
HTTP Security Headers - A Complete Guide
バグバウンティ入門(始め方) - blog of morioka12
ツイッターライクなSNS「Nostr」を Damus アプリで使う。初期の設定と、認証バッジを付ける手順
個人開発(1人システム)担当者がサイバー攻撃に備える7つの心がけ - Qiita
CloudFront + S3 の静的Webサイト構築に役立つ情報まとめ | DevelopersIO
`<meta charset="UTF-8">` を書く必要性があるケースとデメリット
まきのっぴ on Twitter: "この「安定的なレスポンスの確保を考慮し、リダイレクト対象とするコンテンツの選定を行いました」について「意味わからん」と言っている人が複数見られるので、「こういうことかもしれない」という1つの仮説を以下に示します。 端的に言うと「.htaccessでやろうとしたのでは?」です。" / Twitter
意味不明な内容によるハッキングを解決する | Articles | web.dev