システムが脆弱になっていませんか?AWSのセキュリティ設計の基本を解説 | 株式会社LIG(リグ)|DX支援・システム開発・Web制作
どうも、LIGのテクニカルディレクターのおきくです。 最近はPM業務が多くなり、本来のテクニカルディレクション業務から離れることも多いですが、相変わらず技術に対する知識欲は衰えておりません(笑)。 さて今回ですが、案件などでよく設計やディレクションすることが多い、セキュリティ設計(サーバーサイド限定)についてお話ししたいと思います。このブログを通じてみなさんのセキュリティ設計に少しでもお役立てできたら幸いです。 インフラ関連について インフラ関連だと様々な観点での設計が必要になりますが、主に以下観点での設計が必要です。 アクセス管理 WAF 侵入検知・防御 アクセス管理について 様々な観点でアクセス管理を実施する必要性があります。 基本的な考え方としては、各リソースやサブネットワークへのアクセスについて許可されていないIPやサービスからのアクセスを禁じる、想定外なアクセスを行わないようにす
Web開発者はもっと「安全なウェブサイトの作り方」を読むべき - Flatt Security Blog
画像出典: https://www.ipa.go.jp/files/000017316.pdf こんにちは。株式会社Flatt Security セキュリティエンジニアの奥山です。 本稿では、独立行政法人 情報処理推進機構(以下、IPA)が公開している資料「安全なウェブサイトの作り方」を紹介します。 「安全なウェブサイトの作り方」は、無料で公開されているにも関わらず、Webセキュリティを学ぶ上で非常に有用な資料です。これからWeb開発やセキュリティを勉強したいと考えている方はもちろん、まだ読んだことのない開発者の方々にも、ぜひ一度目を通していただけたらと思います。 一方、「安全なウェブサイトの作り方」では、一部にモダンなアプリケーションには最適化されていない情報や対象としていない範囲が存在します。それらについても本記事で一部、触れていきたいと考えていますので、資料を読む際の参考にしていただ
「(私のように)セキュリティを何から始めれば良いか分からない開発者の方へ」というセッションを視聴しました! | DevelopersIO
「(私のように)セキュリティを何から始めれば良いか分からない開発者の方へ」というセッションを視聴しました! どうもさいちゃんです。今回はAWS Builders Online Seriesの中から「(私のように)セキュリティを何から始めれば良いか分からない開発者の方へ」というセッションを視聴しました。セキュリティ対策に悩む開発者の方におすすめの記事です。 今回はAWS Builders Online Seriesの中から「(私のように)セキュリティを何から始めれば良いか分からない開発者の方へ」というセッションを視聴しました。 AWS Builders Online SeriesとはAWS初心者向けのオンラインイベントです。 AWSについてこれから学んでいきたい方 初心者向けのテーマを短時間でサックっと勉強したい という方にピッタリなセッションがたっぷり用意されています。今回私が受講した「(
Minimum Viable Secure Product
2024-04-04 CISA joins the Working Group - Read CISA's blog post here. 2024-02-29 Comparisons between MVSP and common standards launched 2024-01-16 AuditCue joins the MVSP Working Group 2023-12-12 Bitsight analyzes critical cybersecurity performance gaps across industries 2023-11-09 MVSP 2023 Control refresh launched Minimum Viable Secure Product (MVSP) is a list of essential application security c
SSL証明書の作成での failed to update database TXT_DB error number2 発生時の対処 | グーフー WordPressのためのLinuxノート
SSL証明書の作成での failed to update database TXT_DB error number2 発生時の対処 SSLのサーバ証明書やクライアント証明書を作成しようとした場合に、次のようなエラーが発生することがあります。 [root ~]# openssl ca -in client.csr -out client.crt Using configuration from /etc/pki/tls/openssl.cnf Enter pass phrase for ../../CA/private/cakey.pem: Check that the request matches the signature Signature ok Certificate Details: (略) Sign the certificate? [y/n]:y failed to upda
Extended Validation 証明書 - Wikipedia
Extended Validation 証明書 [1] (EV 証明書とも) とは、発行者による主体者の審査に一定の基準を設けた公開鍵証明書である。ウェブサイトの認証と暗号化処理に使われるSSL/TLS (以下、単にSSL) サーバー用の公開鍵証明書 (この場合、単にEV SSL証明書とも) のほか、電子メールやコード・サイニング用の公開鍵証明書がある。本記事では以下、SSL用の証明書を中心に記述している。 SSLの元来の考え方は、SSL証明書の取得時にウェブサイトの管理者が認証局 (CA) の審査を経なければならなくすることで、デジタル証明書によるオンライントランザクションに信頼を与えることであった。 しかし、ほとんどのWebブラウザのユーザインタフェースにおいては、安直な確認をした証明書と厳格な審査をした証明書とが区別されてこなかったため、混乱が生じることとなった。多くのWebブラウザ
ARPスプーフィング
ARPスプーフィングとは,IPの通信で使われている「ARP」(addressresolution protocol)というしくみを悪用した攻撃のことである。2006年あたりから,インターネットを介して,ARPスプーフィングを実行するウイルスをサーバーに仕掛けるという手口が増えている。 ARPは,IPの通信で使うIPアドレスとイーサネットの通信で使うMACアドレスを結び付けるために使うプロトコルである。例えばLAN内のパソコンからインターネット上のサーバーにアクセスするとき,まずLAN内のデフォルト・ゲートウエイというルーターにデータを転送する。このとき,LAN内はイーサネットで接続しているため,デフォルト・ゲートウエイのIPアドレスに対応するMACアドレスを調べる必要がある。ここでARPを使う。 ARPでは「このIPアドレスを持つ機器のMACアドレスは何ですか」とネットワーク内の機器すべて
高木浩光@自宅の日記 - はてなのかんたんログインがオッピロゲだった件
■ はてなのかんたんログインがオッピロゲだった件 かんたんログイン手法の脆弱性に対する責任は誰にあるのか, 徳丸浩の日記, 2010年2月12日 といった問題が指摘されているところだが、それ以前の話があるので書いておかねばならない。 昨年夏の話。 2009年8月初め、はてなブックマーク界隈では、ケータイサイトの「iモードID」などの契約者固有IDを用いた、いわゆる「かんたんログイン」機能の実装が危ういという話題で持ち切りだった。かんたんログイン実装のために必須の、IPアドレス制限*1を突破できてしまうのではないかという話だ。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフ
r-weblife
ritouです。 タイトルに全部書きましたが、Xでharuyamaさんが書かれていたものです。 (広義の公開鍵暗号の)電子署名の文脈においては公開鍵/秘密鍵と言わないで署名鍵/検証鍵などと言ったほうがいいのではないかな— HARUYAMA Seigo (@haruyama) 2024年5月19日 よくある誤解 最近、公開鍵暗号方式がデジタル署名文脈で使われているユースケースに触れる機会が増えてきました。 自分の守備範囲でいうと OpenID ConnectのIDToken パスキーのAttestation/Assertion 雰囲気で使われているJWT認証() あたりでしょうか。 もちろん暗号化/復号のユースケースもあるにはあるのですが、自分の観測範囲ではデジタル署名文脈の方が圧倒的に多く使われています。 このあたりを解説しようとする記事において、誤解というか誤った認識をされがちなのが、
OAuth.jp
いままで Mix-up Attack は Client が AS 毎に redirect_uri を使い分けていれば防げると信じられてきましたが、それじゃ防げないケースもあるよってのが OAuth ML に投稿されました。 細かい解説は英語読んでもらうとして、シーケンスにするとこういうことです。 Attacker AS が (Display Name やロゴ等を通じて) 一見 Honest Client に見えるような Client (Attacker Client) を Honest AS に登録しておく必要があります。 User が Attacker AS 選んでるのに Honest AS に飛んで Approve してしまってる部分も、Attacker Proxy が利用可能な状況 (e.g., Client が HTTP なエンドポイントで Honest AS のログインボタン等を
サーバ証明書の作成
ここでは、通信の暗号化が目的なので自分がCAになって自己認証でサーバ証明書を作成しています。基本的な手順は、Apacheのマニュアルに従っています。 前準備として、サーバ証明書作成の最終段階でmod_ssl付属のsign.shコマンドを使用しますので、こちらからmod_sslの最新版をダウンロードし、任意の場所に展開だけしておきます。おやじがダウンロードしたのは、mod_ssl-2.8.11-1.3.27.tar.gzです。展開後、pkg.contrib配下にsign.shがあることを確認しておきます。 また、以降はopensslのコマンドを使って、鍵や証明書を所定の場所(ここでは、/usr/local/certs)に作成していきますので、opensslへのパスが通っていることが前提になりますが、RedHatなら問題ありません。鍵や証明書を作成するディレクトリを作成し、移動します。
Apache 2 で SSL 電子証明書のパスフレーズ入力を省略する
Apache 2 起動時に SSL 電子証明書の秘密鍵に設定されているパスフレーズの入力を省略する方法についてのお話です。
CentOS5 Webサーバーの構築[Apache] Apacheの通信をSSL/TLSで暗号化する - itochif.com
CentOS5 Webサーバーの構築[Apache] Apacheの通信をSSL/TLSで暗号化する - itochif.com Webサイトの利用ユーザーとApacheの稼動しているこのサーバー間の通信をSSL/TLSを使って暗号化します。この設定を行う上で、認証局(CA)から発行された証明書を使用します。サーバー証明書の発行は、認証局(CA)の構築で構築した認証局で行うか、VeriSign等の認証局から発行してもらいます。ここでは認証局(CA)の構築で構築した認証局を使ってサーバー証明書を発行します。 ※[Apacheのインストールと設定]と[認証局(CA)の構築]が完了している前提です。 認証局からサーバー証明書を発行してもらうには、CSR(Certificate Signing Request)と呼ばれる情報を認証局に提出し、署名をしてもらう必要があります。VeriSign等の認証
CentOS5 認証局(CA)の構築 - itochif.com
認証局(Certification Authority)が何を行うのかというと、第三者の公開鍵が、間違いなくその組織(や個人)のものだという事の証明を行います。この証明には[なりすまし]や[改ざん]を検知する仕組みが含まれています。 注意するべき点はここで構築するのが自前の認証局であり、他人からは第三者を証明するはずのこの認証局自体が信頼できない点です。その点を回避するためになんらかの安全なルートで自前の認証局の証明書をルート証明書として登録してもらう必要があります。ただしその場合、この認証局の秘密鍵の管理に責任を負う事を認識する必要があります。自前の認証局を利用するには、扱う情報の内容や利用範囲を考慮する必要があります。 認証局(CA)の作成用に、CentOS5ではシェルスクリプトが用意されています。これを使用することで容易に認証局を作成する事ができます。 # /bin/cp /etc/
html()とtext() - うなの日記
jQueryで特定の要素の中身を編集するにはhtml(val) または text(val) を使用します。 html(val) は指定された文字列を、サニタイズなしでそのままコンテンツとします。 text(val) の方は、文字列をサニタイズして設定します。 また、要素の中身を参照するメソッドとしてhtml(),text() がそれぞれ用意されており、 html()は要素を含む配下全体を文字列として返します。 text() は配下の文字列だけを返却します。 また、ここで、文字列中にサニタイズされた箇所があれば元に戻して返却するという処理もします。 なので text(str)で設定した文字をtext()で取り出すと、元々の文字列が取得できますが、 text(str)で設定した文字をhtml()で取り出すと、元々の文字列がサニタイズされた状態で返されます。 例えば「<b>aaa</b>」を以下
OpenSSLコマンドとその用例
OpenSSLのコマンドは、オプションがたくさんあって筆者が非常に忘れやすいので簡単に整理してみたいと思います。また、その使い方についても触れていきます。OpenSSLは、セキュアなサーバーを構築しようとする際には必須となりますので正しい用法を覚えておいて損はないでしょう。なお、ここではすべて説明するわけではなく、当サイトで証明書を作成する際に説明するレベルの範囲内に留めておきます。コマンドがわからなくなったら、当ページを参考にしてみてください。 ■コマンドの種類 OpenSSLコマンドの種類は、その役割ごとに標準コマンドの「Standard commands」、ダイジェスト認証用のコマンド「Message Digest commands」、暗号化コマンドの「Cipher commands」3つに分類されます。 # /usr/local/ssl/bin/openssl --help Sta
OpenSSLについて
OpenSSLコマンド簡易マニュアル OpenSSLコマンドは、証明書の作成のためのコマンドです。 opensslには、サブコマンドがあり、使用方法は、各サブコマンド毎に異なります。 また、簡易マニュアルですので、よく使うコマンドやオプションのみ記述しています。 詳細なオプションは、manなどで調べてください。 openssl 形式 openssl サブコマンド オプション 機能 OpenSSLのサブコマンドを実行する 機能やオプションは、サブコマンドによって異なる サブコマンド version OpenSSLのバージョン情報の表示 dgst メッセージダイジェストの計算 genrsa RSA形式の秘密鍵の作成 req 証明書の署名要求(CSR)の作成 x509 X.509証明書データの作成 asn1parse ASN.1形式の証明書の内容の表示
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
本当にあった怖い脆弱性の話
@_Nat Zone
unixlife.jp