アクセス拒否でHDDのフォルダやファイルが見れないときの解決方法 | 松山市の女性専用パソコン教室 サカソパソコンスクール
パソコンのHDD(ハードディスク)をSSD(エスエスディー)に換装した際に、いままで使っていたHDDが余ってしまいます。 まだ使えるのに捨てるのももったいない、じゃあ外付けのHDDにしてしまおう!ということで、外付けケースだけ買って古いHDDを設置すれば、新たに外付けのHDDとして生まれ変わることができます。さらにHDDの中身をSSDにまるごとバックアップした場合はいいですが、新しくSSDにウィンドウズをインストールした場合は、古いHDDに入っているファイルを取り出したいときがあります。 ここからは外付けHDDとして生まれ変わったのに、いざパソコンにつないでみると、フォルダの中身がアクセス拒否で見れない場合の解決方法を書いていきます。 なぜ外付けにすると中身が見れないのかなぜいままで使っていたHDDを他のパソコンにつないでも中身を見ることができないのかと言うと、そのパソコンではアクセスする
安全なウェブサイトの作り方 - 1.7 HTTPヘッダ・インジェクション | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
安全なウェブサイトの作り方 - 1.7 HTTPヘッダ・インジェクション 概要 ウェブアプリケーションの中には、リクエストに対して出力するHTTPレスポンスヘッダのフィールド値を、外部から渡されるパラメータの値等を利用して動的に生成するものがあります。たとえば、HTTPリダイレクションの実装として、パラメータから取得したジャンプ先のURL情報を、Locationヘッダのフィールド値に使用する場合や、掲示板等において入力された名前等をSet-Cookieヘッダのフィールド値に使用する場合等が挙げられます。このようなウェブアプリケーションで、HTTPレスポンスヘッダの出力処理に問題がある場合、攻撃者は、レスポンス内容に任意のヘッダフィールドを追加したり、任意のボディを作成したり、複数のレスポンスを作り出すような攻撃を仕掛ける場合があります。このような問題を「HTTPヘッダ・インジェクションの脆
PHPで作る掲示板のような追記形メモ
PHPで作る掲示板のような追記形メモ 目次 はじめに 入力した見出しと記事を画面に付け加えて行くPHPプログラムを作ります。 サーバーへ入力した文字列をPOSTで送信し、formで指定するページに遷移します(つまり新しいページをサーバーに要求します)。サーバーでは新しいページに書かれているphpプログラムに沿って送られてきた文字列をファイルに追加保存します。さらにプログラムに沿ってそのファイルを読み直し、ページを作成してクライアントに送ります。クライアントのブラウザはページを表示します。 今回のプログラムでは、送信するページと、遷移するページは同じファイルなので混乱しないように。 ログファイルと出力ファイルの設定 まず、エラー表示とログの設定をします。 また、エラーログと同じフォルダに、入力されたデータを保存するファイルも作ることにします。 <?php ini_set('display_e
ロリポップのハッキング被害ドキュメント①:復旧のため実施した作業内容
2013年8月28日の午前、当ブログ「りくまろぐ」はハッキング被害に遭い、一時的にブログが表示されない状態となっておりました。 調査していくうちに背筋の凍る思いがしました。まさか自分のサイト(ブログ)がハッキング被害に遭うなんて夢にも思っていませんでした。 ブログが破壊されたことに気付いて、ものすごく落ち込みました。セキュリティ対策などもほとんど無知で、WordPressについても勉強を始めたばかりの初心者でしたから、何をどうすれば良いのか全く分からず、放心状態になりました。 今回の記事では、ハッキング被害が判明した経緯と、復旧させるまでの対応内容をまとめました。 繰り返しになりますが、セキュリティー対策に関しては知識がほとんどないため、今回の暫定的な対応についても「それは不要ではないか?」というものがあるかもしれません。 とにかく「やれることは全てやろう」という方針のもと、パニックになり
文字コードに起因する脆弱性とその対策(増補版)
2. Copyright © 2010 HASH Consulting Corp. 2 本日お話しする内容 • 文字コード超入門 • 文字コードの扱いに起因する脆弱性デモ6+1連発 • 文字コードの扱いに関する原則 • 現実的な設計・開発指針 • まとめ 3. 前提とする内容 • 文字コードに起因する脆弱性とは – 正しいセキュリティ対策をしているかに見えるコードにおいて、 文字コードの取り扱いが原因で生じる脆弱性 • 以下の脆弱性に関する一般的な知識は既知のものとします – SQLインジェクション脆弱性 – クロスサイト・スクリプティング(XSS)脆弱性 – パストラバーサル脆弱性 Copyright © 2010 HASH Consulting Corp. 3 4. Copyright © 2010 HASH Consulting Corp. 4 徳丸浩の自己紹介 • 経歴 – 198
第20回 文字エンコーディングとセキュリティ(2) | gihyo.jp
前回に引き続き、今回も文字エンコーディングとセキュリティをテーマに解説します。前回は文字エンコーディングを利用した攻撃で、JavaScriptインジェクションやSQLインジェクションなどが可能であることを紹介しました。今回はなぜ、文字エンコーディングを利用して攻撃できるのか、簡単に紹介します。 文字エンコーディングを利用した攻撃の原理 文字エンコーディングを利用した攻撃には3種類の方法があります。 不正な文字エンコーディングを利用する方法 文字エンコーディングを誤認識させる(誤認識を利用する)方法 文字エンコーディングのエスケープ方式を利用する方法 この連載は攻撃方法を詳しく解説する事が目的ではありません。具体的なの攻撃方法の解説はできる限り控え、なぜこの3つ手法が攻撃に利用できるのか解説します。 前回も触れましたが、パス遷移攻撃には文字エンコーディングを利用した攻撃方法もあります。 文字
「WAFを入れれば安心」に黄色信号! 誤検知や精度の低さに苦労するかも? 今知りたい“本当に使えるWAF”の選び方
「WAFを入れれば安心」に黄色信号! 誤検知や精度の低さに苦労するかも? 今知りたい“本当に使えるWAF”の選び方 昨今、ランサムウェア感染やクラウドサービスの設定ミスといった情報セキュリティ事故に関する報道を頻発に目にするようになった。同じく頻発しているのが、社外向けに公開しているWebサイトやWebアプリケーションへのサイバー攻撃や不正アクセスだ。Webサービスの脆弱性を突いた攻撃で、顧客の個人情報やクレジットカード情報などが数万件単位で流出するケースもある。これは決して無視できるものではなく、これまで以上に入念な対策が必要だ。 Webアプリケーションの脆弱性対策としては、脆弱性診断やセキュアコーディングなどがある。後者は、SQLインジェクションやクロスサイトスクリプティング(Web上に悪意あるスクリプトを埋め込む攻撃手法)の取っ掛かりになる脆弱性を生まないよう、開発段階で情報セキュリ
WordPressのプラグインFile Managerの脆弱性を悪用した攻撃が確認。70万以上のサイトに影響か。 - みっきー申す
Wordfenceのブログにて、WordPressのプラグインFile Managerに存在していたゼロディ脆弱性と攻撃の悪用情報が明らかになりました。 wordfence.com 当該脆弱性のパッチは、昨日、2020年9月1日(現地時間)に公開されたとのことですが、アクティブインストールの数も700,000件を超えており、早急なバージョンアップが推奨されています。 当記事では、脆弱性に関する情報と周辺情報をまとめ、公開します。 目次 脆弱性の概要と影響範囲 利用状況と日本ユーザへの影響予測 WordPress運用者へのススメ まとめ 脆弱性の概要と影響範囲 Wordfenceの脅威インテリジェンスチームの発表によると、WordPressのプラグインFile Managerにゼロディ脆弱性が存在し、すでに攻撃への悪用を確認しているとのことです。 脆弱性の影響は以下です。 認証されていないユ
「私はロボットではありません」はワンクリックでなぜ人間を判別できる? 仕組みとその限界を聞いてきた
2021.02.16 「私はロボットではありません」はワンクリックでなぜ人間を判別できる? 仕組みとその限界を聞いてきた WebサイトにIDとパスワードを入力するとき、ときどき「私はロボットではありません」にチェックを求められることがあります。 僕はロボットではないので、当然チェックを入れて認証を進めるわけですが……。でもちょっと待ってください。なぜクリックひとつで、人間かロボットかを判断できるんでしょう。 これはきっと、人間ではないなんらかの不正アクセスを防ぐ仕組みのはず。でもチェックを入れるくらい、プログラムを作ってなんやかんやすれば、シュッとできるのでは? 「私はロボットではありません」は、どんな仕組みで人間とロボットを判別しているのか。もっといい方法はないのか。これまでの歴史的経緯も含め、情報セキュリティ大学院大学の大久保隆夫教授に聞きました。 気づかないうちに「人間かロボットか」
SQL インジェクション攻撃とその対策
公開日: 2008年4月30日 | 最終更新日: 2008年6月25日 昨今、Web サーバー上のコンテンツが不正に改ざんされ、改ざんされたコンテンツを閲覧した利用者がマルウェア感染等の二次的な被害を受ける事案が継続的に発生しています。 この攻撃は、Web サーバーを狙ったものではなく、Web サーバー上で動作する、お客様が開発または導入した Web アプリケーションを狙って行われており、**"SQL インジェクション攻撃"**と呼ばれています。SQL インジェクション攻撃は Internet Information Services (IIS) や ASP (Active Server Pages) の脆弱性ではなく、SQL インジェクションという Web アプリケーションの脆弱性を悪用したもので、被害を防ぐためには、お客様のサイト レベルでの対策が必要となります。ここでは、現在発生して
Rails セキュリティガイド | Rails ガイド
このマニュアルでは、Webアプリケーション全般におけるセキュリティの問題と、Railsでそれらの問題を回避する方法について説明します。 このガイドの内容: 本ガイドで取り上げられている問題に対するあらゆる対策 Railsにおけるセッションの概念、セッションに含めるべき項目、有名なセッション攻撃 Webサイトを開くだけで(CSRFによる)セキュリティ問題が発生するしくみ ファイルの取扱い上の注意、管理インターフェイスを提供する際の注意事項 ユーザーを正しく管理する(ログイン・ログアウトのしくみ、あらゆるレイヤにおける攻撃方法) 最も有名なインジェクション攻撃方法の解説 1 はじめに Webアプリケーションフレームワークは、Webアプリケーションの開発を支援するために作られました。フレームワークの中にはセキュリティを比較的高めやすいものもあります。実際のところ、あるフレームワークは他のよりも安
HTTP Cookie の使用 - HTTP | MDN
HTTP ガイド リソースと URI ウェブ上のリソースの識別 データ URL MIME タイプ入門 よくある MIME タイプ www 付きと www なしの URL の選択 HTTP ガイド HTTP の基本 HTTP の概要 HTTP の進化 HTTP メッセージ 典型的な HTTP セッション HTTP/1.x のコネクション管理 プロトコルのアップグレードの仕組み HTTP セキュリティ Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) X-Content-Type-Options X-Frame-Options X-XSS-Protection Mozilla web security guidelines Mozilla Observatory HTTP アクセス制御 (CORS) HTTP
POSTメソッドを制限する
せりかのアルバム(Ver3.0.8b)をブログ専用で利用する為に、POSTメソッドを制限する必要がありました。 メソッドを制限するのにはLimitを利用すればいいと思ったのですが、 結果からするとLimit POSTではうまく制限ができず、LimitExcuteで制限をする必要がありました。 Limitでは、指定したメソッドを制限するのに対し、 LimitExcuteでは、指定したメソッド以外を制限します。 メソッドの制限を行う場合は、LimitではなくLimitExcuteを利用することが推奨されているようです。 設定メモ (httpd.conf) 以下を追加 <Location /blog/album> <LimitExcute GET> #GETメソッドのみ許可する Order deny,allow Allow from A.B.C #A.B.CのリクエストのみGET以外のメソッドが
外部の別ホストからのPOST送信を禁止したい
PHP初級です。 外部の別ホストからのPOST送信を禁止したいのですが、例えば.htaccessで制限することは可能でしょうか? やりたいことは以下の質問と同じです。 http://q.hatena.ne.jp/1154620823 自ホストが .aaa.com として、 .aaa.com/soushin.php //POST送信 .aaa.com/jusin.php //POST受信 これは許可。 .bbb.com(.aaa.com以外)/soushin.php //POST送信 .aaa.com/jusin.php //POST受信 これをシャットアウトしたいのです。 .htasseccでいろいろと試してみましたが、POST出来てしまうか、サイトそのものへアクセス不可になってしまうかで 思ったように動作しません。 <Limit GET POST> order deny,allow de
[PHP] Ajax 通信かどうかの判定方法
PHP で Ajax からのリクエストか、 Submit とかできたリクエストなのかを判定する方法。 jQuery とか prototype とかのライブラリを使って Ajax リクエストを送ると、リクエストヘッダに「 X-Requested-With:XMLHttpRequest 」ていうのが入ってくるので、これを使って判断する。 if(isset($_SERVER['HTTP_X_REQUESTED_WITH']) && strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest') { // Ajax からのリクエスト } else { // Ajax ではない } ライブラリを使わないで、 JavaScript とかで Ajax 通信するならヘッダに X-Requested-With:XMLHttpRequest
![[PHP] Ajax 通信かどうかの判定方法](https://cdn-ak-scissors.b.st-hatena.com/image/square/15e47d64a7de3204f1e0c8a01e39939a50b2670f/height=288;version=1;width=512/https%3A%2F%2Fagohack.com%2Fwp%2Fwp-content%2Fuploads%2F2019%2F12%2Fphp-logo3.png){kind=logo}
Webサービス製作で引っかかりやすい「同一生成元ポリシー(SOP)」について
Cosnomiプログラミングをする医学生。物を作ること、自動化すること、今まで知らなかったことを知ることが好き。TypeScript書いたり、Pythonで機械学習したりなど。 Twitter / GitHub / GPG key / Fediverse / My Page 同一生成元ポリシー(Same Origin Policy: SOP)は、外部APIを利用するWebサービスにとっては避けては通れない話です。最近はSPAの台頭により自前のAPIをclientから叩かせるケースが増加していると思いますが、その場合でも意識しなければならないことがあります。 目的と概要 何のためにSOPが必要なのでしょうか。 簡単なWebページでは、ブラウザはサーバーからデータ(HTML ファイル)を取得しそれをレンダリングします。一度取得したらそれっきりです。何か追加で定期的にデータを取りに行ったりするこ
SPAサイトのCSRF対策 - 親バカエンジニアのナレッジ帳
CSRF対策について CSRFとは? CSRFによる被害 通常のCSRF対策 SPAサイトのCSRF対策 方法1 リファラで判断 方法2 ログイン時に発行したトークンを照合 方法3 CORSと組み合わせてOriginをチェック CSRF対策について CSRFとは? このページに来られた方ならもう理解している方も多いとは思いますが、CSRFについて簡単に説明します。 CSRFはリクエスト強要(CSRF:Cross-site Request Forgery)という意味で、クロスサイト(Cross-site)の名の通り、正規のサイトとは別のサイトからリクエストを送らせる偽造工作です。 Webでサーバサイドの開発をしている方ならご存知だとは思いますが、例えばフォームのPOST処理は必要な項目やURLさえわかっていればどこからでもリクエストすることは可能ですよね。(リクエスト先が受け付けてくれるかは
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
morihi-soc
<Limit> の危険
知っていれば恐くない、XMLHttpRequestによるXSSへの対応方法
