FrontPage - HackingWiki
ハッキング Wiki † ハッキングの関連のあれこれについてまとめてみようと思っているwikiです。悪いことには使わないでください(たぶん使えないと思いますが)。 内容は少しずつ充実させていきたいと思っていますが、wikiの使い方はあまりわかっていないので事故で消えるかもしれません。 硬いので文体を「ですます」にしようと思います。 誰も編集しないので編集できないように戻しました。編集したい人はyamamoto at bogus.jp宛にメールするか、blogにでも書き込むか、電話でもしてください。。 ↑
創意無限空間 » さくらの専用サーバーセキュ
先日、さくらインターネットで専用サーバーをレンタルしました。で、サービスのセットアップや動作確認など準備を進めている最中なのですが… サーバーをレンタルしてから数日後、ふとログファイルをチェックしていたところ、/var/log/maillogに見覚えのないログがつらつらと… …思いっきりSPAMの踏み台にされていましたorz もしや!! と思い、iptablesで解放portを調べてみたところ… # /sbin/iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt sou
[セキュリティ]画像へのPHPコマンド挿入 ― T.Teradaの日記
だいぶ時間がたってしまいましたが、大垣さんの以下のブログにコメントしたことなどをまとめます。 画像ファイルにPHPコードを埋め込む攻撃は既知の問題 – yohgaki's blog アップロード画像を利用した攻撃についてです。 攻撃の概要 画像ファイルにPHPコマンドを挿入する攻撃は、大きく2種類に分けることができます。 1つは、画像のアップロード機能を持つサイト自身を狙う攻撃です。PHPで開発されており、任意の拡張子のファイルのアップロードを許すサイトでは、拡張子がphpなどのファイルをアップロードされる恐れがあります。 拡張子がphpなどのファイルに仕込まれたPHPコマンドは、そのファイルにHTTP/HTTPSでアクセスされた際に実行されます。攻撃者は、アップロードファイルを通じて、画像が置かれるWebサーバ上で任意のコマンドを実行することできます。 この脆弱性は、アップロード可能なフ
![[セキュリティ]画像へのPHPコマンド挿入 ― T.Teradaの日記](https://cdn-ak-scissors.b.st-hatena.com/image/square/7796f01b00a8787c0f54f9dd84afaee9fd273d93/backend=imagemagick;height=288;version=1;width=512/https%3A%2F%2Fcdn.image.st-hatena.com%2Fimage%2Fscale%2Fdda40cd304cd0a1b53411a50c48189820296dcde%2Fbackend%3Dimagemagick%3Bversion%3D1%3Bwidth%3D1300%2Fhttp%253A%252F%252Ff.hatena.ne.jp%252Fimages%252Ffotolife%252Ft%252Fteracc%252F20070624%252F20070624205401.gif)
「職場でのサイト閲覧」のプライバシーを守る方法
https接続を簡易化するツール、ブラウザからプライベートデータを消去する方法、アクセス履歴を無効にする方法などを紹介。(Lifehacker) 仕事をこなす上でも日々の生活を送る上でも、今日、インターネットはなくてはならない存在となっている。問題は、私的なネット利用が職場の上司の考えにそぐわない場合があることだ。 魅惑的なインターネットを使って少しばかり個人的な時間を過ごしたとしても仕事に支障は出ない、というのが筆者の信念だ。そこで今回は、職場でインターネットを閲覧する際に、プライバシーと自由を確保する方法を幾つか紹介する。 注:筆者はここで、職場での私的ネット閲覧について、どこまでが許され、どこからが許されないかという議論をするつもりはない。だから本稿は、「職場でのネット閲覧にも多少のプライバシーを確保したい」という考えに賛同できない方にはお勧めしない。もっとも、紹介するTipsはどれ
LiveCDでWindowsログイン画面のPASSを解析する方法
「カミサンにポルノ全部ロックかけられた!」 奥さんにPASS握られて困ったLifehackerのアダム君が使ったのが、Ophcrack使ってWindowsログイン画面のパスワードを解析する方法。 使い方はカンタンで、ここでLive CDをダウンロードして焼いて、そのCD入れてクラックしたいアカウント選ぶだけ。辞めちゃった同僚や別れた奥さん、恋人のマシンを使いたい…なんて時、知っとくと便利だし、自分のパス忘れちゃった時とかにも。くれぐれも悪用はしないように。 PS: アダムの話は作り話です。本当は自分専用のマシンに置いてるみたい。 (編訳/satomi) 英文解説&スクショツアー [Lifehacker] まとめ(日本語)
SMB over SSH : ヽ( ・∀・)ノくまくまー(2007-03-28)
● SMB over SSH どうせお前らWeb開発者は、会社に行かずに家のPC(Windows)からPuTTYで会社のサーバに入って開発していて、プログラムコードの作成はemacs,vimで書けるんだけど、画像の編集だけはリモートでは難しいので、Photoshop並の画像加工するCGI(Ajax)をさっさと作れよ世界の天才達よ、と相手が見えない不満を溢しつつ、結局手元のmspaintでゴリゴリ修正してるんだけど、手元でやると更新したファイルをアップする方法が意外と面倒で、samba はリモートでは危険だし、ろだ用意するのも大げさだし複数一気には無理だし、cygwin で scp てのも cygwin 入れてないし、WebDAV は日本語ファイル名とか昔おかしくなったしつーか用意するのが面倒だし、そういえばセカちゃんが shfs を薦めてたけどあれも準備が大変だし、と脳内で作業を想像しただ
やねうらお―よっちゃんイカ(ry - mixi hacks
自分のホームページに <img src="http://mixi.jp/show_friend.pl?id=XXXXXX" width=0 height=0> と書いたり、CSSに body { background: url(http://mixi.jp/show_friend.pl?id=XXXXXX); } と書いたりするのが流行っている。 こうすると、そのページにアクセスした人のmixiのIDがわかるのである。mixiでは本名を入れていたりすることが多いので、どこの誰のアクセスだかバレてしまう。 このように「ユーザーの意図しないところで勝手にユーザーの情報が送信されてしまって本当にいいのか?」と思うのだが、この問題は案外根が深そうだ。
hxxk.jp - mixi の情報を常に持ち歩いていると、うっかり見られたり盗まれたり落としたりするという話
記事データ 投稿者 望月真琴 投稿日時 2006-02-03T00:07+09:00 タグ CSRF mixi まとめ アクセスログ セキュリティ 概要 本人の意図しないところで mixi の足あとを取得されてしまう……という話ですが、 mixi の中のための情報を持ったまま外出しなければ済むだけではという話。 リプライ 2 件のリプライがあります。 mixi の足跡を本人に悟られずに取得するネタ やねうらお-よっちゃんイカを買いに行ったついでに家を買う男 - mixi hacks で、本人の意図しないところで足あとを取得できる手段が紹介されていますが、定期的にこういった話は浮上しますね。 私が知る限りで mixi 関連のものを簡単に羅列してみましょう。 インターネット殺人事件 : 日記 : 2005-02 にて今回のものと同様の発想が提唱されました。既存のアクセスログより多くの情報が取れ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セキュリティガイドライン