「わざと脆弱性を持たせたWebアプリ」で練習を
命名・「やられWebアプリケーション」(仮) 構築したWebアプリケーションがセキュアかどうかを確かめる方法として、疑似的に攻撃を行うことで問題を発見する「脆弱性診断」があります。脆弱性診断は専門業者が実施することがほとんどだと思いますが、あなた自らが脆弱性診断の技術を身につけることで、セキュアWebアプリケーションについての理解が深まるとか、自社内で脆弱性診断ができるようになるといったこともあるかもしれません。 脆弱性診断の技術を身につける過程では、脆弱性を見つける手法を試したり、診断ツールを試したりする必要がありますが、診断といえど攻撃と同様のことを行うので、気軽に実稼働環境で実験するわけにもいきません。ましてや、他人や他社のWebサイトで試すなどはもってのほかです。 そこで、わざと脆弱性を持たせたWebアプリケーションと、それを動作させる環境が必要になります。 このような環境をわざわ
コンソール・アプリケーションで進行状況を表示するには?[2.0のみ、C#、VB] - @IT
「TIPS:時間がかかる処理の進行状況をダイアログで表示するには?」では、Windowsアプリケーションにおいて、時間がかかる処理の進ちょく状況をプログレス・メーター(ProgressBarコントロール)などを使ってエンド・ユーザーに提示する方法を紹介している。これと同じようなことは、コンソール・アプリケーションにおいても(時間がかかる処理などで)行いたいことがあるだろう。 .NET Framework 2.0では、「TIPS:コンソール画面でカーソルを自由に移動させるには?」で紹介しているように、コンソール画面上のカーソルを扱う機能が大きく拡張されたため、このようなプログレス表示も簡単に実装できる。そこで本稿では、その簡単な実装サンプルを示すことにする。 1%ごとに進行状況を示すサンプル・プログラム 次の画面のコンソール・アプリケーションは、棒が右回りにくるくる回転するアニメーションがテ
ファイル名は「左から右に読む」とは限らない?!
ファイル名は「左から右に読む」とは限らない?!:セキュリティTips for Today(8)(1/3 ページ) 私たちの常識が世界では通用しないことがあります。攻撃者はそんな心のすきを狙って、落とし穴を仕掛けます。今回はそれを再認識させるかのような手法と、その対策Tipsを解説します(編集部) 皆さんこんにちは、飯田です。先日、セキュリティ管理者の方々と「今後のウイルス対策のあり方」について意見交換をする機会がありました。参加者からは活発な意見や質問も飛び交い、盛り上がりを見せた意見交換会となりました。私自身も多くの気付きや学びを得ることができ、貴重な時間を過ごすことができました。 その意見交換会の中で、Unicodeの制御文字を利用したファイルの拡張子偽装の話題が出ました。この手法は目新しい手法ではなく、数年前からすでに指摘されていたものです。しかし、久しぶりに本手法について議論するこ
VMware Player用の仮想マシンを作成するには - @IT
VMware Playerには、仮想マシンを作成する機能がない。そのため、「仮想マシンでLinuxを手軽に使用するには」で説明したように、既成の仮想マシンをダウンロードするのが一般的な使用法だ。 しかし、好みのOSを好みの仮想マシンで使用することも不可能ではない。ここでは、QEMUの付属ツールなどを利用して、新規に仮想マシンを作成する方法を説明する。 VMware Playerで実行可能な仮想マシンには、少なくとも仮想ディスクのイメージファイル(.vmdk)と仮想マシンの設定ファイル(.vmx)が必要となる。 仮想ディスクのイメージファイルは、QEMUのディスクイメージユーティリティ「qemu-img」で作成できる。Fedora 8の場合、QEMUはyumコマンドでインストールすることができる。
“ビデオ版Twitter”のSeesmicはYouTubeを超えるか - @IT
2008/02/07 “ビデオ版Twitter”と評されることもあるWebサービス「Seesmic」(シーズミック)が話題だ。現在まだユーザー限定のアルファテスト中だが、ビデオ版Twitterという分かりやすいコンセプトや斬新なアプローチ、創業者の話題性などで注目を集めている。 Seesmicを創業したのはフランスで最も知られたブロガーの1人、ロイック・ル・マール(Loic Le Meur)氏。1972年7月生まれの35才で、これまでに4つのネット系ベンチャー企業をフランスで起業。成功した起業家としても知られる。そのマール氏は、2007年はじめに、ほとんど単身でシリコンバレーのお膝元、サンフランシスコに乗り込んだ。 結局最後はアメリカ企業に潰されるか買われるか 彼は“シリアス・アントレプレナー”と呼ばれるタイプの起業家の典型だ。マール氏は、これまでの売却益などで得た総額を公表していないが、
名前解決の仕組みとゾーンファイルの設定
今回は、BINDの設定を行う。ゾーンファイルの編集を行って正引き・逆引きが行えるようにするほか、MX、CNAMEなど各種レコードの使い方を紹介する。また、名前解決の仕組みについてもここで理解しておいてほしい。 BINDの基本的な動作 前回、DNSサーバの代表的な実装であるBINDをインストールしました。今回は設定を行います。 しかしその前に、BINDの動作を簡単に理解しておく必要があります。そうせずに、単に資料の引き写しの設定ファイルを使う方法もありますが、予期せぬ動作をしたときに対処できなくなってしまいます。 前回、「DNSは分散型データベースである」と述べました。つまり、どこかにすべてのデータを持ったサーバがあるわけではなく、あちらこちらにサーバが分散しているわけです。問題は、どうやって目的のデータを持ったサーバを見つけだすかです。 さすがに手掛かりゼロではどうしようもないので、最初の
バーチャルホストによる複数サイトの同時運用
独自ドメインが使えるホスティングサービスは、どのように実現しているのだろうか? その鍵となるのが「バーチャルホスト」である。この機能を使うことによって、1台のマシンで複数のWebサイトを運用できるようになる。 バーチャルホストとは 今回は、Apacheの特徴的な機能の1つである「バーチャルホスト」について解説する。この機能により、少ないリソースで複数のWebサイトを構築することが可能になる。 なぜバーチャルホストが必要なのか 通常、Webサーバへのアクセスにはwww.atmarkit.co.jpやwww.tis.co.jpといったURLが利用される。URLの「atmarkit.co.jp」や「tis.co.jp」の部分はドメイン名、「www」の部分はホスト名と呼ばれる。第2回でも説明したとおり、実際にはURLをIPアドレスに置き換えなくてはWebサーバにアクセスできない。そこで、先方ドメイ
@IT:クロスサイトスクリプティング対策の基本
最近Webアプリケーションに存在するセキュリティホールが注目を浴びている。その中でも「クロスサイトスクリプティング」と呼ばれる脆弱性が有名であるが、クロスサイトスクリプティング脆弱性について正確に理解している人が依然として少ないと感じる。 本稿では、クロスサイトスクリプティングとはどのような脆弱性であるのか、この脆弱性を持ったサイトが攻撃されるとどのような被害が起き得るのか、なぜそのようなセキュリティホールが作り込まれてしまうのか、どのように対策をすればよいのかを解説していく。 ※以下本文中では、クロスサイトスクリプティング脆弱性のことを「XSS」と表記する。「Cross Site Scripting」の略であるから「CSS」と表記している記事もあるが、「Cascading Style Sheets」の略も「CSS」となり紛らわしいため、「XSS」と表記する場合が多くなってきている。本稿で
バージョン管理に便利なSubversiveプラグイン (1/3) - @IT
そもそもSubversionとは何か? Subversionとは、バージョン管理システムとして広く利用されているCVSの管理スタイルを踏襲しつつその欠点を解決したバージョン管理システムです。Google Trendsによると、日本ではSubversionの検索数がCVSをすでに上回っており(2007年3月現在)、関心が高まってきています。 実際、筆者の周りでもSubversionを利用しているプロジェクトが増えてきています。本稿では、SubversionをEclipseから利用するプラグインSubversiveとプロジェクト管理システム「Trac」との連携を中心とした利用ノウハウを提供します。 Subversionのメリット チェンジセットによるリビジョン管理 バージョン管理システムにおいて、ローカルで編集した内容をリポジトリへ反映するために行う作業を、コミットといいます。 CVSはファイ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
@IT
https://atmarkit.itmedia.co.jp/fsecurity/