ドメインのご利用ならこちらがおトクです(ドメイン永久無料!さらにサーバー初期費用無料&月額最大2ヶ月無料!)
GNU bash を代替のシェルに入れ替える WAF や IDS を用いて脆弱性のあるサービスへの入力にフィルタをかける 継続的なシステム監視を行う 弊社サイトの場合、 そもそもCGIの類は一切利用していない シェルの入れ替えは影響範囲が不明なため別のトラブルを招く可能性がある mod_security を既に導入している という事で、WAFによるフィルタで様子を見る事にしました。 以下対応の手順と、実際の検知状況について記します。 環境 WAFにはmod_security を利用します。 環境、及び、導入方法に関しては、 WAF(Web Application Firewall)でWebサイトを脆弱性から守る を参照。 手順 ルールの作成 今回のbashの脆弱性に対する mod_security 用のルールについては、redhat が対応するルールを提示して下さっているので、これを利用し
管理中のサーバで行っているセキュリティ設定を公開します。本当はこういうことを公開するのはよろしくないのですが、脆弱サーバが氾濫している現状そこが踏み台となってsshアタックされるのも迷惑極まりないので、最低限やっとけという内容でまとめました。*1 起動サービスと概要 iptables/Firewallの設定 iptablesの中身 limit-burstについて hashlimitについて hosts.allow/hosts.deny(TCP Wrapper)の設定 sshdの設定 その他の設定 Apacheの設定 Postfixの設定 Dovecotの設定 まとめ はてブさんは #の切り分けやめてくれないかな……。 起動サービスと概要 Apache (www) sshd smtp/pop bind (DNS) ntpd いくつかの注意点。 sftpで十分なのでftpdは使わない。WinS
Ping of Death攻撃と対策 Ping of Death(ピング オブ デス〈PoD〉)攻撃とは、サイズの大きなPingを受け取るとサーバが停止するというバグを利用した攻撃です。Pingとはサーバの動作を確認する際に利用されます。 最新のディストリビューションでは対策が取られており、実害が出ることは稀ですが、攻撃する意図を持ったIPを特定するという意味でログファイルへ記録します。 今回は設定以上のサイズを持つPingを拒否することで対策を取ります。通常pingのサイズはWindowsであれば32バイトで、linuxであれば56バイトです。 実際にはICMPのヘッダ(8バイト)やTCPのヘッダー(20バイト)が付くので、84バイトになります。そこで85バイト以上のPingを破棄します。 この辺から複雑になってきますが、1つ1つの要素に分解すると簡単です。 # Ping攻撃対策 ipt
It's time to update your passwords to various sites affected by the Heartbleed bug. Credit: Mashable composite. iStockphoto, SoberP An encryption flaw called the Heartbleed bug is already being dubbed one of the biggest security threats the Internet has ever seen. The bug has affected many popular websites and services -- ones you might use every day, like Gmail and Facebook -- and could have quie
必要な情報は http://heartbleed.com/ にまとまっているのですが、英語だし長いしって人のために手短にまとめておきます。 どうすればいいのか OpenSSL 1.0.1〜1.0.1fを使っていなければセーフ あてはまる場合には、一刻も早くバージョンアップして、サーバごと再起動(わかるひとはサービス単位でもOK、ただしreloadではだめなことも) SSL証明書でサーバを公開しているなら、秘密鍵から作り直して証明書を再発行し、過去の証明書を失効させる(末尾に関連リンクあり)。 サーバを公開していない場合も、外部へのSSL通信があれば影響を受けるので、詳しく精査する。 PFS(perfect forward secrecy)を利用していない場合、過去の通信内容も復号される可能性があるため、詳しく精査する。 漏洩する情報の具体例は、OpenSSLの脆弱性で想定されるリスクとして
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) 次は、JSONにおけるセキュリティ対策 皆さんこんにちは、はせがわようすけです。第4回「[気になる]JSONPの守り方」はJSONPについて説明しましたので、今回は「JSON」についてもセキュリティ上注意すべき点について説明します。 JSONは、XMLHttpRequestで受け取り、JavaScript上でevalするという使い方が一般的です。 まずはサーバ側から送られる情報と、クライアント側での処理、それぞれの内容を見ておきましょう。 [サーバ側] HTTP/1.1 200 OK Content-Type: application/json; charset=
WebアプリケーションにおいてJSONを用いてブラウザ - サーバ間でデータのやり取りを行うことはもはや普通のことですが、このときJSON内に第三者に漏れては困る機密情報が含まれる場合は、必ず X-Content-Type-Options: nosniff レスポンスヘッダをつけるようにしましょう(むしろ機密情報かどうかに関わらず、全てのコンテンツにつけるほうがよい。関連:X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! - 葉っぱ日記)。 例えば、機密情報を含む以下のようなJSON配列を返すリソース(http://example.jp/target.json)があったとします。 [ "secret", "data", "is", "here" ] 攻撃者は罠ページを作成し、以下のようにJSON配列をvbscriptとして読み込みます。もちろ
昨日の日記の続きで、Ajaxに固有なセキュリティ問題について検討します。今回はJSON等の想定外読み出しによる攻撃です。これら攻撃手法は本来ブラウザ側で対応すべきもので、やむを得ずWebアプリケーション側で対応する上で、まだ定番となる対策がないように思えます。このため、複数の候補を示することで議論のきっかけにしたいと思います。 まず、作りながら基礎から学ぶPHPによるWebアプリケーション入門XAMPP/jQuery/HTML5で作るイマドキのWeから、Ajaxを利用したアプリケーションの概念図を引用します(同書P20の図1-23)。 前回、前々回は、(5)のHTTPレスポンスの前後で、JSON等のデータ作成(エンコード)に起因するevalインジェクションや、(5)のレスポンスを受け取った後のHTMLレンダリングの際のXSSについて説明しました。 しかし、問題はこれだけではありません。正常
※2013/01/24 add: 徳丸先生の書かれた実はそんなに怖くないTRACEメソッド | 徳丸浩の日記を先に見ておくをオススメします。深く追求できていないまま記事にしてしまい申し訳ありません。 タイトルの通りです。HTTPのメソッドには、よく使うものとしてGETやPOSTというものがありますが、TRACEメソッドというものがありまして、これを有効にしておくと危ないよという話しです。 TRACEメソッドについて 百聞は一見にしかず、どんな挙動をするか見ていきましょう。 $ telnet example.org 80 Trying example.org... Connected to example.org. Escape character is '\^]'. TRACE / HTTP/1.1 #ここと HOST: example.org #ここを手で入力して、エンターキー二回このよ
クロスサイトスクリプティングとは? クロスサイトスクリプティング(略してXSS)は、WEBサイト中で動的にHTMLやJavascriptを生成している部分に、悪意のあるコードを埋め込む攻撃です。 昨年、TwitterがXSS脆弱性によって、大騒ぎになった日がありました。 こんな風に、WEBサイトに怪しげなソースコードを埋め込み、それを見た別のユーザーに悪影響を与えます。 この対策は本質的な対策法は、 悪意あるコードを埋め込めないようにする これに尽きます。 1. <>“&は文字参照にする HTML中に悪意あるコードを埋め込めなくするためには、特殊な意味合いをもつ<>“&の文字をエスケープする必要があります。 $str = htmlspecialchars($str, ENT_QUOTES, 'UTF-8'); こうすると、<は<に、>は>に、&は&に、”は"e;
2024-02-28 掲示板2024-01-05 RecentDeleted2023-03-23 12.x/インストール2023-02-21 FrontPage2022-06-16 日本語化2022-06-12 管理人2022-06-11 砂場2022-04-06 FAQ Tips/CISにGundamOnlineを学習させる方法2022-03-08 12.x/各種設定/ファイル評価2021-05-04 12.x/各種設定/HIPS 12.x/各種設定/コンテナ仮想化 12.x/各種設定/ファイアウォール2020-01-28 12.x/各種設定/全般的な設定2019-06-15 12.x/各種設定/高度な保護2019-04-24 12.x MenuBar 12.x/各種設定/アンチウイルス2019-04-02 COMODO Secure Shopping COMODO Cleaning E
なぜ通常のXMLHttpRequestにはクロスドメイン制約があるのに、JSONPではクロスドメインでリクエストを送信できるのか?不思議に感じたので、ちょっと調べてみた。 クロスドメイン制約は「ブラウザ上で実行されるJavaScriptは同じドメインにしかリクエストの送信やクッキーの編集を行えない」という制限である。 なぜこのような制限が必要になるのか。クロスドメイン制約がなかったらどうなるかを思考実験してみよう。ブラウザ上では、いくつものサイトからダウンロードしてきたJavaScriptが同時に実行されることは珍しくない。また、悪意のあるページにアクセスしてしまい、悪意あるJavaScriptを実行してしまうことも、十分に起こり得る話である。間違えて変なページにアクセスしたら致命的な問題が起きました、ではまずいので、ブラウザではJavaScriptができる事にかなりの制限を与えている。X
多くの暗号化関数および圧縮関数では、結果に任意のバイト値が含まれている可能性のある文字列が返されます。 これらの結果を格納する場合は、VARBINARY または BLOB バイナリ文字列データ型のカラムを使用します。 これにより、バイナリ以外の文字列データ型 (CHAR, VARCHAR, TEXT) を使用している場合など、データ値を変更する可能性がある後続の領域削除または文字セット変換の潜在的な問題を回避できます。 一部の暗号化関数は ASCII 文字の文字列を返します: MD5(), SHA(), SHA1(), SHA2(), STATEMENT_DIGEST(), STATEMENT_DIGEST_TEXT()。 戻り値は、character_set_connection および collation_connection システム変数によって決定される文字セットと照合順序を持つ文
追記: (2021-06-04) いまだにこの記事へのアクセスが多いので、2021年現在におけるパスワードの取り扱いに関するベストプラクティス記事を紹介します。 cloud.google.com (追記ここまで) PSNの障害で盛り上がっていますが、クレジットカード番号は暗号化していたがパスワード含む個人情報は暗号化していなかったという点が注目されているようです。 というわけで、パスワードの保存方法についてまとめてみます。 前提となる暗号の話 いわゆる暗号化と呼ばれている技術には、以下の2種類があります。 1. 復号のための鍵があって、暗号化する前の「平文」に戻すことができる「暗号化」 ざっくり言えば、この2通りの操作ができます。 平文と鍵1 ―(暗号化)→ 暗号文 暗号文と鍵2 ―(復号)→ 平文 平文が暗号化される前のデータ、鍵と書かれているのが2048ビットだったりする暗号化の方法に
前の記事 「秘かにユーザー情報を収集するアプリ」が多数 GoogleとCIAが投資する「世界監視システム」 2010年7月30日 IT社会 コメント: トラックバック (0) フィードIT社会 Noah Shachtman オバマ大統領と、Google社のSchmidt CEOは大統領選でも緊密に協力した。Photo: AP/Charles Dharapak マサチューセッツ州ケンブリッジにある社員16名の新興企業、米Recorded Future社が、米Google社の投資部門である米Google Ventures社と、CIAなどの情報機関のために投資業務を担っている非営利機関In-Q-Telからの投資を受けている。 Recorded Future社が評価されているのは、リアルタイムでウェブを監視する同社の技術だ。無数に存在するウェブサイトやブログ、Twitterアカウント等を監視し、人
bit.lyにログインしているとメールアドレスを抜かれる ※修正されたようで今は抜けなくなっています (2010/08/10 10:00) account name: - mail: - api key: - » このページをツイッターで紹介する » はてなブックマークでのコメント » ぼくはまちちゃん! » はまちや2(Blog) » はまちや2(twitter) Powered by BEARS SERVER PROJECT: ついったーとHamachiya2はまちや2のtumblr [hmcy]ドリームメーカー:簡単・無料・フリーのノベルゲームが作成できるWebサイトソーシャルゲーム速報簡単!節約!おいしい!お料理レシピのもぐもぐ予告.out - 予告ができる掲示板ぼく専用mxximixiシークレットバトンはまちやブックマークオナホールピンクローター私立恵比寿中学(エビ中)ファンクラ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く