タグ

関連タグで絞り込む (5)

タグの絞り込みを解除

securityに関するsuzuki86のブックマーク (7)

  • サーバー作成直後に設定しておくべき初期セキュリティ設定

    マニュアルは、さくらのVPSLinux ディストリビューションを利用する方を対象とし、管理者として注意したいセキュリティ設定をご紹介します。 具体的には、一般ユーザー及び sudo を用いた操作、 ファイアウォール及びパケットフィルター機能、SSH サーバー設定などです。 Note さくらのVPSで提供されている標準OS AlmaLinux 9 もしくは標準OS Rocky Linux 9 を前提に記載します。 他のディストリビューションやサービスを利用する場合は、必要に応じて読み替えてください。 警告 ページでは、多くのサーバー構築で共通するセキュリティ設定のみを扱います。 利用されるソフトウェアや用途によって、適切なセキュリティ設定を選択したり、追加で実施する必要があります。 加えてVPSは、管理者権限をお渡ししているサービスの為、記載内容についてはお客様にてご確認のうえご利用

    サーバー作成直後に設定しておくべき初期セキュリティ設定

  • 「DNSリフレクション(リフレクター)攻撃」とは? | サイバーセキュリティ情報局

    DNSリフレクション(リフレクター)攻撃によってWebサービスが不能となった」という報道を見たことがあるのですが、どういう意味なのでしょうか? A DNSリフレクション(リフレクター)攻撃とは、リフレクション、つまり反射を用いた攻撃です。攻撃の仕組みは単純で、送信元のIPアドレスを偽装したDNSリクエストをDNSサーバーに送ることによって、偽の送信元である攻撃対象に大量のDNSパケットを送り付ける、というものです。攻撃対象を直接スキャンしたりすることなく、間接的に攻撃を仕掛けるため、攻撃元の特定が難しくなります。 DNSという通信手段はプロトコルがUDP(User Datagram Protocol)であるため、IPアドレスを詐称することがTCPに比べて容易です。同じUDPを通信手段としているプロトコルにNTP(Network Time Protocol)がありますが、こちらも同様に詐称

    「DNSリフレクション(リフレクター)攻撃」とは? | サイバーセキュリティ情報局

  • ICMP攻撃 | サイバーセキュリティ情報局

    インターネット上の制御に関する通知を行うプロトコルの脆弱性を悪用し、大量のパケットを送り付けてネットワークの帯域をあふれさせるフラッド攻撃の一種。広義には、DoS(サービス拒否)攻撃の一種。 ICMPは一般的なインターネットプロトコルで、データグラム処理における誤りの通知や通信に関する情報の通知など、さまざまなエラーメッセージを送信するために使用される。その際には認証を必要とせず、1方向の通信を前提に設計されている。 ICMP通知の例 ・エコー要求/応答 ・宛先到達不能 ・送出抑制要求 ・経路変更要求 ・ルーター広告/要求 ・時間超過 ・不正引数 ・タイムスタンプ要求/応答 ・情報要求/応答 ・アドレスマスク要求/応答 このうち、何らかの原因でインターネットがつながらなくなったときに通信状態を確認するために送られる「エコー要求/応答」を悪用するのが「ICMP攻撃」である。 攻撃の流れ 1 

  • Rails SQL Injection Examplesの紹介

    モノタロウの1900万商品を検索する Elasticsearch構築運用事例(2022-10-26 第50回Elasticsearch 勉強会発表資料)

    Rails SQL Injection Examplesの紹介

  • 脆弱性の見つけ方(初心者向け脆弱性検査入門)

    WEB系の情報セキュリティ関連の学習メモです。メモなので他情報のポインタだけ、とかの卑怯な記事もあります。 ※2020.9 注記:ブログの解説記事は内容が古くなっております。OWASP ZAPなどのソフトウェアの解説は現行バージョンの仕様から乖離している可能性があります。 EC-CUBEで脆弱性を見つけたり、mixiの脆弱性報告制度で成果を挙げたりしたせいか、「どうやって脆弱性を見つけてるんですか?」という質問をされることが時折あり、一応手順は説明するのですが、いつも口頭で細かくは説明できなくて申し訳ないので、自分のやり方をまとめてこのブログにアップしておきます。 標準的な脆弱性検査のやり方しか説明していないので、脆弱性検査のやり方を既に把握している人が読んでも得るものは少ないのではないかと思います。今回は脆弱性検査に興味があるが何をどうしたらいいか分からないような初心者向けコンテンツで

    脆弱性の見つけ方(初心者向け脆弱性検査入門)

  • 正規表現によるバリデーションでは ^ と $ ではなく \A と \z を使おう

    正規表現によるバリデーション等で、完全一致を示す目的で ^ と $ を用いる方法が一般的ですが、正しくは \A と \z を用いる必要があります。Rubyの場合 ^ と $ を使って完全一致のバリデーションを行うと脆弱性が入りやすいワナとなります。PerlPHPの場合は、Ruby程ではありませんが不具合が生じるので \A と \z を使うようにしましょう。 はじめに 大垣さんのブログエントリ「PHPer向け、Ruby/Railsの落とし穴」には、Rubyの落とし穴として、完全一致検索の指定として、正規表現の ^ と $ を指定する例が、Ruby on Rails Security Guideからの引用として紹介されています。以下の正規表現は、XSS対策として、httpスキームあるいはhttpsスキームのURLのみを許可する正規表現のつもりです。 /^https?:\/\/[^\n]+$/

  • 文字コードの脆弱性はこの3年間でどの程度対策されたか?

    2019/01 JSUG勉強会の資料です。 この資料でDisっているのはJPAではなく、 ・何も考えずに「標準だから」というだけでJPAを選ぶ人 ・OSSに全くコントリビュートせずにフリーライドする人 です。

    文字コードの脆弱性はこの3年間でどの程度対策されたか?
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.