タグ

セキュリティとCMSに関するwasaiのブックマーク (6)

  • CSRFトークン インタビューズ - Qiita

    VAddyとCSRFトークン VAddyは脆弱性診断を実行する際に、CSRFトークンを最新のものに更新しながら動作します。そのため「どのパラメータがCSRFトークンか?」を判断するロジックが存在しています。最近あるフレームワーク(後述)について「CSRFトークンを正しく認識できない」というバグを修正したのですが、良い機会なのでメジャーなフレームワークやCMSを中心にCSRFトークンの実装をざっと追ってみました。一覧にしても面白くないので、仮想インタビュー形式にまとめてあります。GitHub上で軽く追ったものが多いので、最新のバージョンでなかったり、解釈が間違っている箇所があるかもしれません。 それでは、どうぞ。 Ruby on Rails 金床(以下、金)「こんにちは。ようこそ。」 RoR「こんにちは」 金「相変わらずシェア高いようですね。」 RoR「はい、おかげさまで。この間はルマン24

    CSRFトークン インタビューズ - Qiita
  • IPAテクニカルウォッチ「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」:IPA 独立行政法人 情報処理推進機構

    IPA(独立行政法人情報処理推進機構)セキュリティセンターは、ウェブサイトへの情報セキュリティインシデントが後を絶たないことを受け、ウェブサイトの構築・運用に用いられるCMS(コンテンツマネジメントシステム)に着目し、その脅威と対策、および構築・運用のポイントを解説した“IPAテクニカルウォッチ”「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」を9月28日(水)に公開しました。 下記より「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」についてのレポートPDF版をダウンロードしてご利用いただけます。 1.CMSとは 2.CMSで構築されたウェブサイトを狙う攻撃と対策 3.CMSを使ったウェブサイト構築・運用のポイント 4. チェックリスト 【別冊付録】ウェブサイト構築・運用のポイント 1. ウェブサイトを構築する上での注意点 2. ウェブサイトの運用開

    IPAテクニカルウォッチ「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」:IPA 独立行政法人 情報処理推進機構
  • 3年程運営していたwordpressのブログがウイルス感染して一瞬で消滅した : 宇佐美典也のブログ

    宇佐美典也のブログ 宇佐美典也(うさみのりや)です。1981年、東京都生まれ➡暁星高校➡東京大学経済学部➡経済産業省➡ブロガー・ニート➡再生可能エネルギー業界の端っこ(今ココ)なにかあればinfo@unyconsulting.comまでご連絡を。 お問い合わせ プライバシーポリシー 個人情報保護方針 去る2015年9月19日、サーバーを借りているlolipopから通知が有りまして3年間程運営していたブログがウイルス感染のためあっけなく閉鎖することになりました。 9月15日頃にいわゆるボットが発動したものと思われ、私が借りていたサーバーから大量にSPAMメールが撒かれていたようです。以下9/15から9/16にかけてlolipopから通知があった撒かれたスパムメールの件数です。 (9/15 ) 21:39 ➡ 314通 22:12 ➡ 335通 23:09 ➡ 306通 (9/16) 0:18

    3年程運営していたwordpressのブログがウイルス感染して一瞬で消滅した : 宇佐美典也のブログ
  • 管理できていないウェブサイトは閉鎖の検討を:IPA 独立行政法人 情報処理推進機構

    IPA に今まで届出のあった “安全でない CMS を利用しているウェブサイト” 241 件のうち、脆弱性解消の目処が立っていないのは 50 件(約 2 割) ~ 対象 古いバージョンのコンテンツ管理システム(CMS:ウェブサイトのページを管理するシステム)の脆弱性を狙ったウェブ改ざんが横行しています。改ざんによりウェブサイトにウイルスを仕掛けることも可能なため、問題のあるウェブサイトを放置しておくことは、ウイルス拡散に悪用されかねません。 ウェブ改ざんによってウェブ閲覧者がウイルス感染するイメージ図 特に、Web Diary Professional(以後、WDP)と Movable Type という CMS については、以下の注意喚起の通り、攻撃が活発化しています。 大阪府警察 偽サイトへ誘導するページを蔵置するための不正アクセスの手口について http://www.police.

  • CMSが狙われる3つの理由

    攻撃者の狙いはシステムへの侵入です。システムに保存されている重要な情報を盗み出したり、前回紹介したような悪意ある攻撃コードをWebサーバに埋め込み、二次攻撃、三次攻撃につなげる足がかりとして、CMSが狙われているのです。 CMSが狙われる3つの「ワケ」 ではなぜ、数あるアプリケーションの中でCMSが攻撃の被害を受けているのでしょうか。それにはいくつかの理由があります。 オープンソースソフトウェアであり、ソースコードの参照が可能である ホスティングサービスの環境では容易にアップデートできない 攻撃の検知、防御が難しい 1つ目の理由は、攻撃対象となっているCMSの多くはオープンソースソフトウェアであるという点です。 一般的にオープンソースのソフトウェアは「多くの目にさらされているから問題も発見しやすい」と認識されています。ApacheやBINDのように多くのユーザーがいるソフトウェアならば、こ

    CMSが狙われる3つの理由
  • 利便性とセキュリティのはざまで苦しむ現場

    企業の情報漏えい対策は進むものの、情報漏えい事件は後を絶たない。また、対策を急ぐあまり現場の利便性や効率性が低下し、それを嫌がったユーザーが正しく運用せず、対策の意味が薄れてきているケースもある。では、どうやってセキュリティと効率のバランスを取ればよいのか。特集ではその点について、リスク分析やポリシー設定、ツールの導入までを考えていく。 保護法施行から4年半、情報漏えい対策は進んでいるのか ここ数年の間、多くの企業は“情報漏えい”にかなりセンシティブになっている。その背景には、最近でもアリコ、三菱UFJ証券など、毎週のように大企業における情報漏えい事件が起きてメディアを騒がし、他人事ではなくなってきたことも、経営者の危機感をあおる要因となっているだろう。 日ネットワークセキュリティ協会(JNSA)が2009年11月に発表した調査結果によると、情報漏えい事故の原因は「誤操作」が35.2%

    利便性とセキュリティのはざまで苦しむ現場
  • 1