接続先がATS (App Transport Security)に対応しているか、または例外の設定をnscurlコマンドで簡単に調べる - 24/7 twenty-four seven
TL;DR, $ nscurl --ats-diagnostics --verbose https://kishikawakatsumi.com/のようにnscurlコマンドに--ats-diagnostics --verboseオプションをつけて実行すると、指定したドメインがATSの要件を満たしているかどうかをチェックし、デフォルトの設定でエラーが起こる場合はエラー回避するための設定まで教えてくれます。 developer.apple.com iOS 9からATS (App Transport Security)の仕組みが導入され、HTTP(HTTPSでない)通信はブロックされ、HTTPSでも接続先がATSの要件を満たしてない通信についてはデフォルトで失敗するように変更されました。 HTTPの通信はブロックされます。 App Transport Security has blocked
公開鍵認証方式でのssh接続・設定・トラブルシューティング法 - Qiita
技術者向けというより利用者向けの記事になります。ターゲットとして今までパスワード認証だったけど、これからセキュリティを考慮して公開鍵認証に切り替えるよ、でも切り替えに必要な作業は個人で行ってねと言われて途方に暮れている人向けです。 急ぎの方は、 秘密鍵と公開鍵の生成 秘密鍵の登録 公開鍵の登録 動作確認 を読んで、実行してもらえれば大丈夫です。 sshの認証方式としてはよく使われるパスワード認証の他に公開鍵認証というものがあります。 公開鍵方式では「公開鍵」と「秘密鍵」の2種類の鍵を使って認証を行います。この2つの鍵は基本的にファイル(実体としてはただのテキスト)として扱われます。sshの場合はパスワードの代わりに秘密鍵を用いる感覚(場合によってはもっとお手軽な感覚)で使うことができます。もちろん、パスワードと同じように秘密鍵は厳重に管理する必要があります。 パスワード認証に比べたメリット
GitHubユーザーのSSH鍵6万個を調べてみた - hnwの日記
(2015/1/30 追記)時期は不明ですが、現時点のgithub.comはEd25519鍵にも対応しています。 (2016/5/31 追記)「GitHubにバグ報告して賞金$500を頂いた話」で紹介した通り、既に弱い鍵はGitHubから削除され、新規登録もできなくなっています。 GitHub APIを利用して、GitHubの31661アカウントに登録されているSSH公開鍵64404個を取得してみました。抽出方法*1が適当すぎて偏りがあるような気もしますが、面白い結果が得られたと思うのでまとめてみます。 SSH鍵の種類 鍵の種類 個数 割合 RSA鍵 61749 (95.88%) DSA鍵 2647 (4.11%) ECDSA鍵 8 (0.01%) 約6万個の鍵のうち、8個だけECDSA(楕円DSA)鍵が見つかりました!常用しているのか試しに登録してみただけなのかはわかりませんが、何にせよ
iptablesの設定メモ - Qiita
以下の通りの方針に従って設定を行う 入力(INPUT),転送(FORWARD)は許可したもの以外は破棄(DROP) 出力(OUTPUT)は基本的に許可(ACCEPT) 入力で許可するもの以下のとおり sshサーバへの接続は許可 ローカルループバックインターフェースからの接続は許可 pingなどICMPパケットを許可 自サーバから接続済みの通信に関するパケットを許可 ip偽装攻撃対策 プライベートIPアドレスからの接続は破棄 ローカルループバックからの接続は拒否 特殊なアドレス(リンクローカル,TEST-NET,クラスD,クラスE)からの接続は拒否 Smarf攻撃対策 ブロードキャストのパケットを破棄 上記に対応する iptables の設定は以下 # Generated by iptables-save v1.4.7 on Wed Apr 2 03:07:56 2014 *filter #
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
大企業・中堅企業の情報システムのセキュリティ対策~脅威と対策~
近年では、ほとんどの企業がインターネット上で企業の情報を公開しており、総務省「平成17年通信利用動向調査」によれば、85.6%の企業が自社のホームページを開設している。その背景としては、消費者のネットワークによる情報活動の活性化により、企業側もこれに呼応し、事業の展開にネットワークを積極的に活用していることがあげられ、会社概要やIR情報、自社製品、サービス情報の掲載や告知など、企業にとって安価な広告媒体として活用されている。 また、情報提供だけではなく、インターネットを利用した電子商取引も規模を伸ばしている。図表1に一般消費者向け電子商取引(B2C)の市場規模の推移を示す。企業側には市場に速やかに参入することができるメリットがあり、また消費者側にはインターネットを利用した効率的な製品情報の収集や価格比較等が行えることもあり、ニーズに合った多様な取引が今後も増えていくものと見られている。 一
SQLインジェクションの恐ろしさを実感できるツール「Havij」の使い方 | Lancork
WEBサイトの脆弱性を狙った攻撃手法は数多くありますが、その中でもSQLインジェクションはサイト乗っ取りや情報流出の可能性がある致命的な攻撃です。 そこでSQLインジェクションに特化した脆弱性チェックツール「Havij」を使ってその恐ろしさを体感してみたので、手順と結果をご紹介します。 脆弱性チェックツール「Havij Advanced SQL Injection」とは IT Security Teamというチームによってリリースされている脆弱性チェックツールです。SQLインジェクションのチェックに特化しており、数多くのデータベースに対応しています。対応しているデータベース製品の一例は以下の通りです。 MySQL PostgreSQL Microsoft SQL Server Oracle Microsoft Access Sybase (ASE) 本来は自サイトのセキュリティを向上させる
そこそこセキュアなlinuxサーバーを作る - Qiita
先日「サーバーのセキュリティ設定がなにすればいいかわからない」と相談をうけまして。 自分も初心者の時どこまでやればいいかわからず手当たりしだいにやって沼に入っていたのを思い出しながら自鯖構築したときのメモを元にまとめてみました。 注意 セキュリティ対策は用途や場合などによって違います。 自分で理解したうえで自己責任でおねがいします。 対象読者 Linuxのサーバーを建て慣れていない人 Linuxはある程度さわれる人(自分でパッケージを入れたり、サービスを止めたりできる) ラインナップ ☆は導入の重要度と導入の容易さから個人的偏見からつけた値です。 4つ以上が"最低限やること"だと思ってください。 sshd
PHPエスケープ関数の比較一覧 | 株式会社フォレスト・コンサルタンツ
CR … カーソルを文頭へ戻す制御コード(Carriage Return) EOF … ファイル終端を示す制御コード(End Of File) 黄色い部分が全部で4箇所、すなわち、htmlspecialchars($str)で変換できない文字が1つ、addslashes($str)で変換できない文字が3つあることが分かります。より安全なプログラムを心がけるには、htmlspecialchars($str)ではなくhtmlspecialchars($str, ENT_QUOTES)を、addslashes($str)ではなくmysql_real_escape_string($str)を使う必要があります。 また、クロスサイトスクリプティング対策とSQLインジェクション対策では、変換すべき文字や、変換後の文字が異なることも一目瞭然かと。この2つは全く別物として考えるべきです。 と偉そうに書いて
自己流のSQLインジェクション対策は危険
HTMLエスケープの対象となる < > & " の4文字は、文字実体参照に変換された後、preg_replace関数でセミコロンを削除してしまうので、中途半端な妙な文字化けになりそうです。 一般的な原則としては、データベースにはHTMLの形ではなくプレーンテキストの形で保存しておき、HTMLとして表示する直前にHTMLエスケープする方法で統一することで、上記のような文字化けやエスケープ漏れをなくすことがよいでしょう。 脆弱性はないのか このsanitize関数に脆弱性はないでしょうか。上表のように、バックスラッシュ(円記号)を素通ししているので、MySQLや、設定によってはPostgreSQLの場合に、問題が生じそうです。以下、それを説明します。以下の説明では、MySQLを使う想定とします。 以下のように、ログイン処理を想定したSQL文組立があったとします。 $sql = sprintf(
SSL v3.0 の脆弱性について (対応方法:2014/12/16 更新)
本ページでご案内している脆弱性に関連し、新たな脆弱性が存在することが判明しました。詳細は以下の記事をご確認ください。 【第2報】SSL v3.0 の脆弱性について(2014/12/16) 「対策」欄に「Proself で SSLv3 を無効にする」を追加しました (2014/10/29) 米国時間の 2014年10月14日 に、POODLE(Padding Oracle On Downgraded Legacy Encryption)と名付けられた脆弱性が公開されました。 SSL v3.0 (CBCモード) を利用している場合、プロトコルに存在している脆弱性が悪用され、暗号化されている通信の内容が漏えいする可能性があります。 詳細は以下のリンクをご参照ください。 ・ This POODLE bites: exploiting the SSL 3.0 fallback (Google Onl
JAL顧客情報システムへの不正アクセスによる お客さま情報の漏えいについて<最終報告> (2015年1月21日)
JAL顧客情報システムへの不正アクセスによる お客さま情報の漏えいについて<最終報告> 2014年9月に判明した顧客情報システムへの不正アクセスによるJALマイレージバンク(JMB)会員のお客さま情報の漏えいにつきまして、社内調査を完了し、JMB会員の一部(4,131名様)のお客さま情報(*1)の漏えいを確定しましたのでご報告いたします。本件につきましては、2014年10月31日に設置した社外の独立役員から構成される検証委員会(*2)による検証が行われ、社内調査の内容および今後の対応について了承されています。 なお、クレジットカード番号、JMBパスワードの漏えいはありませんでした。特典交換などのマイレージプログラムは通常通りご利用いただけます(*3)。 お客さまならびに関係の皆さまには、ご心配およびご迷惑をおかけいたしましたことを、心よりお詫び申し上げます。 情報セキュリティに関しましては
BASHの脆弱性でCGIスクリプトにアレさせてみました
環境変数に仕込まれたコードを実行してしまうBASHの脆弱性が CGIスクリプトに影響を与えるか試してみたら結果は悲惨な感じに Tweet 2014年9月25日 嶋田大貴 この記事は2014年のものです 朝から Bash specially-crafted environment variables code injection attack なるもので騒ぎになっていたので、さっそく手元の Apacheで試してみました。 /hoge.cgiというURIで実行されるように、一行のメッセージを出力するだけの CGIスクリプトを設置します。いっけん、なんの入力もクライアント側から受け付けていないため危険のありようもなく見えます。 #!/bin/sh echo "Content-type: text/plain" echo echo "Hi! I'm an ordinary CGI script w
Iptablesチュートリアル 1.2.2
Japanese translation v.1.0.1 Copyright © 2001-2006 Oskar Andreasson Copyright © 2005-2008 Tatsuya Nonogaki この文書を、フリーソフトウェア財団発行の GNU フリー文書利用許諾契約書バージョン1.1 が定める条件の下で複製、頒布、あるいは改変することを許可する。序文とその副章は変更不可部分であり、「Original Author: Oskar Andreasson」は表カバーテキスト、裏カバーテキストは指定しない。この利用許諾契約書の複製物は「GNU フリー文書利用許諾契約書」という章に含まれている。 このチュートリアルに含まれるすべてのスクリプトはフリーソフトウェアです。あなたはこれを、フリーソフトウェア財団によって発行された GNU 一般公衆利用許諾契約書バージョン2の定める条件の
パスワードで保護されたExcelシートを解除するフリーのアドイン「Excel Password Remover 2008」 - GIGAZINE
Excelのシートやワークブック単位でかけられた保護(ロック)を解除するために必要なパスワードを探り当てる無料のエクセルアドインです。編集しようとしたらパスワードが必要だったが、前任者などが退職してもういないのでどうしようもないという場合に非常に役立ちます。 使用できるExcelのバージョンはExcel 2000/XP/2003です。 ダウンロードと使い方は以下から。 Excel password: Excel password remover http://www.straxx.com/excel/password.html 上記ページから「password.xla」をクリックしてダウンロードし、適当な場所に保存します。 次にExcelを起動し、「ツール」から「アドイン」をクリック 「参照」をクリック 先ほどダウンロードした「password.xla」を選んで「OK」をクリック 「Pas
Perl Tips | ウェブサイト構築時のセキュリティのポイント
IPA(独立行政法人情報処理推進機構)の「 安全なウェブサイトの作り方 」というドキュメントは、なかなかまとまっていて、良い。すべてのウェブアプリ開発者は目を通しておくべきだ。ここではこのドキュメントから注意点をピックアップしてまとめてみた。 SQL インジェクション OS コマンド・インジェクション パス名パラメータの未チェック/ディレクトリ・トラバーサル セッション・ハイジャック クロスサイト・スクリプティング クロスサイト・リクエスト・フォージェリ (CSRF) HTTP ヘッダ・インジェクション メールの第三者中継 以下は、各ポイントの問題と対策。 SQL インジェクション (問題) リクエスト URL を https://www.yourdomain.com/post.php?param=XXXXX とすると、攻撃者が XXXXX のところにSQL 文を書いて SQL を実行して
Webアプリケーションを作る前に知るべき10の脆弱性 ― @IT
Webアプリケーションが攻撃者に付け込まれる脆弱性の多くは、設計者や開発者のレベルで排除することができます。実装に忙しい方も、最近よく狙われる脆弱性のトップ10を知ることで手っ取り早く概要を知り、開発の際にその存在を意識してセキュアなWebアプリケーションにしていただければ幸いです。 Webの世界を脅かす脆弱性を順位付け OWASP(Open Web Application Security Project)は、主にWebアプリケーションのセキュリティ向上を目的としたコミュニティで、そこでの調査や開発の成果物を誰でも利用できるように公開しています。 その中の「OWASP Top Ten Project」というプロジェクトでは、年に1回Webアプリケーションの脆弱性トップ10を掲載しています。2004年版は日本語を含む各国語版が提供されていますが、2007年版は現在のところ英語版のみが提供さ
今夜分かるSQLインジェクション対策 ― @IT
【関連記事】 本内容についてのアップデート記事を公開しています。あわせてご確認ください(編集部) Security&Trustウォッチ(60) 今夜こそわかる安全なSQLの呼び出し方 ~ 高木浩光氏に聞いてみた http://www.atmarkit.co.jp/fsecurity/column/ueno/60.html Webアプリケーションに対する攻撃手法の1つであるSQLインジェクションの存在は、かなり広く知られるようになった。しかし、その対策はまだ本当に理解されていないように思える。フォームから渡された値の特殊文字をエスケープしたり、PHPのmagic_quotes_gpcといった自動エスケープ機能をオンにするだけで対策したつもりになっていないだろうか。 基本はもちろん、セカンドオーダーSQLインジェクションやマルチバイト文字を利用したSQLインジェクションの攻撃パターンや、その対
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
立ち上げ直後のiptablesを設定する。 - Qiita
ウェブサイトの攻撃兆候検出ツール iLogScanner | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構