今夜つける HTTPレスポンスヘッダー (セキュリティ編) - うさぎ文学日記
Webサーバーがレスポンスを発行する際に、HTTPレスポンスヘッダーに付けるとセキュリティレベルの向上につながるヘッダーフィールドを紹介します。 囲み内は推奨する設定の一例です。ブラウザによっては対応していないヘッダーフィールドやオプションなどもありますので、クライアントの環境によっては機能しないこともあります。 X-Frame-Options ブラウザが frame または iframe で指定したフレーム内にページを表示することを制御するためのヘッダーフィールドです。主にクリックジャッキングという攻撃を防ぐために用いられます。 X-Frame-Options: SAMEORIGIN DENY フレーム内にページを表示することを禁止(同じサイト内であっても禁止です) SAMEORIGIN 自分自身と生成元が同じフレームの場合にページを表示することを許可(他のサイトに禁止したい場合は主にこ
Webに関わる人のための『HTTPの教科書』を発売 - うさぎ文学日記
ひさびさの単著となる『HTTPの教科書』が2013年5月24日に発売になります。 内容はタイトルの通り、Webに関わる全ての人に捧げるHTTPを学ぶための教科書です。基礎を学びたい初心者の方から、机の上に置いてリファレンス的に使いたい方までを対象としています。 HTTPの教科書発売元: 翔泳社価格: ¥ 2,730発売日: 2013/05/25posted with Socialtunes at 2013/05/21 HTTP関連の書籍は『今夜わかるHTTP (Network)』というタイトルの本を2004年に出しています。その頃からHTTP/1.1が主流であるというのは、今でも変わりませんがそれを取り巻く環境というのは変わりつつあります。 HTTPを学ぶ上での要点がわかりやすく、そして読みやすくなっております。前作のリニューアルっぽく感じるかと思いますが、9割以上は書き直しや追記しており
プロトコル内での"X-"接頭辞の廃止 - RFC6648 - うさぎ文学日記
RFC6648として、アプリケーションプロトコル内での"X-"接頭辞と同様の構造の廃止というのが上がっていました。 HTTPなど多くのプロトコルでは、非標準パラメーターに”X-”接頭辞を付けることで、標準パラメーターと区別していましたが、メリットがないというより問題が多いので、既存のはさておき新たなプロトコルを作るときには、それは止めましょうとのこと。 RFC 6648 - Deprecating the "X-" Prefix and Similar Constructs in Application Protocols
LinkedInから650万パスワードが漏えい、すぐ変更を - うさぎ文学日記
一気にニュースになっていますが、LinkedInのパスワード(saltなしのSHA-1ハッシュ)が漏えいして、単純なパスワードの多くがクラックされている可能性があるとのことです。 ユーザーの方はパスワードの変更かリセットをしておきましょう。 Linkedin Blog
セブ島2週間短期留学まとめ - ラングリッチ - うさぎ文学日記
仕事の忙しさが、GW前に一段落したので、GW明けから流行りの?セブ島へ英語を勉強しに超短期留学してきました。ちなみに初留学。 滞在期間は5月6日(日)〜5月19日(土)の2週間です。 (授業は5月7日〜5月18日) 留学に行った目的は下記の二つでした。 会話経験に乏しいため会話目的。セキュリティ関連の英語記事の翻訳は何とか時間を掛けたらできるけど、会話をとにかくしたかった。できれば、テクニカルな会話ができればなおよし。 東京から離れて、海外で仕事をするための予行演習。主に自社とScanNetSecurityなどの日常業務、ちょうど書籍を2冊抱えていたので執筆なども。 行ったのはラングリッチ。広告や記事をどこかで見た方も多いのでは? フィリピン留学の決定版! セブ・ラングリッチカレッジ どんな学校だった? 授業は4時間、6時間、8時間コースから選べます。私は6時間コースを選びました。朝9時〜
Bitcoinが犯罪の温床になるとFBIが警告 - うさぎ文学日記
PtoPでやりとりする仮想通貨のBitcoinは中央銀行的な存在がありません。故に、どこの国もBitcoinを取り締まることはありません。Bitcoinの価値を認めた使いたい人だけが使います。実際の円やドルなどの通貨との両替もできるので、相場もあります。 そのBitcoinが、マネーローンダリングなど犯罪の温床になることをFBIが警告しています。これは以前から危惧されていましたが、FBIが「Bitcoin Virtual Currency: Intelligence Unique Features Present Distinct Challenges for Deterring Illicit Activity(PDF)」というタイトルのレポートに詳しくまとめています。レポートの内容はBitcoinの仕組みから問題点など多岐に亘ります。 FBI Fears Bitcoin's Popul
Yoshiokaと名乗るハッカーが逮捕、通信事業者のハック自慢が証拠に - うさぎ文学日記
「xS」「Yoshioka」「Yui」と名乗る17歳の少年がオランダ最大の通信事業者KPNへのハッキングで逮捕されています。警察は暗号化されたコンピュータ、2台のラップトップ、ストレージやDVD、USBメモリなどを押収しているとのこと。 KPNでは数百台のサーバーにインストールされたマルウェアを取り除く作業に追われ、200万ユーザーのメールアカウント使用者にはパスワードの変更をお願いしているとのこと。私も、漏えいしたと思われる一部のアカウント情報がPASTEBINに公開されているのを確認しています。 彼は他にも日本や韓国、ノルウェイでも告訴されています。日本のTokohu大学(原文ママ、もしかして東北大学?)や韓国科学技術院(KAIST)、ノルウェイのトロンハイム大学などのハッキングが疑われています。 彼の逮捕に繋がったのは、前週に逮捕された16歳のハッキング容疑者との繋がりがあった他、K
Apache Killer を使い始めたDDoSボットネット - うさぎ文学日記
お隣の韓国では小学生らがゲーム規制に反発して政府サイトにDDoS攻撃を加えるぐらい、手軽で効果的な攻撃と言えばDDoSの時代のようですね。そんなDDoS攻撃も大量アクセスの力業だけではなく、脆弱性を利用してDoSを仕掛けることもあります。 DDoS軽減ベンダー(そんなのあるんですね)のArbor Networksの報告によると、2011年8月にリリースされたApache Killer(CVE-2011-3192)というApache Webサーバーの脆弱性を狙ったExploitを利用したDDoS攻撃を行うボットネットを発見したそうです。 DDoS Botnet Clients Start Integrating the Apache Killer Exploit | PCWorld Business Center 他にも以前からあるSlowloris HTTP DoSのようなApache W
うさぎ文学日記
2016年8月2日に3年ぶりに書籍を出します。テーマは「Webアプリケーション脆弱性診断」です。 弊社(株式会社トライコーダ)では脆弱性診断を学ぶための講座をいくつか提供していたり、リーダーを務めるOWASP Japanの脆弱性診断士スキルマッププロジェクトでのガイドライン作りなどによって、診断会社各社の診断手法やノウハウなどを蓄積することができました。本書はそれを一冊にまとめた本となっています。 Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術発売元: 翔泳社価格: ¥ 3,456発売日: 2016/08/02posted with Socialtunes at 2016/07/13 脆弱性診断はセキュリティ会社が実施することが多いのが現状のようです。それは脆弱性診断という技術が特殊なために熟練のセキュリティ専門家でないと実施できないという誤解
ハッカー小説、ハッカー映画などまとめ - うさぎ文学日記
いわゆるハッカー・クラッカーのハッカーが登場する映画や小説などのまとめです。 漫画・アニメ・ゲーム、および手法の紹介などがメインのセキュリティ本、ハッキング本、日本語以外のもの、本やDVDで市販していないものはあまり取り上げていません。 映画: 「マトリックス」シリーズ 「スニーカーズ」 「コンドル」 「ソードフィッシュ」 「サイバーネット」 「ザ・インターネット (THE NET)」 「ウォー・ゲーム」 「Catch me if you can」 「バトルロワイヤル」 「ザ・ハッカー 侵入者抹殺」 「THE HACKER」 「ザ・コア」 「ウェブマスター」 「サベイランス -監視-」 小説: 「パワーオフ」 「マネーハッキング(インタンジブル・ゲーム)」 「青い虚空 (THE BLUE NOWHERE)」 「声の網」 「The S.O.U.P.」 「ニューロマンサー」 「マサチューセッツ
GoogleとFacebookにオープンリダイレクトの脆弱性 - うさぎ文学日記
任意のURLにリダイレクトできるオープンリダイレクタの状態になっていたようです。一見、GoogleなどのURLに見えますが、攻撃者が指定したサイトに自動的に遷移してしまいます。 Google https://accounts.google.com/o/oauth2/auth?redirect_uri=http://www.something.comOAuthのリダイレクトURIを悪用されているようです。まだ動作しますね。 Facebook http://www.facebook.com/l.php?h=5AQH8ROsPAQEOTSTw7sgoW1LhviRUBr6iFCcj4C8YmUcC8A&u=www.something.comこちらはFacebookの。こちらは警告と確認の画面が表示されます。 URL redirection Vulnerability in Google & Fa
海外での読売『防衛省が対サイバー兵器』の扱い - うさぎ文学日記
元日の読売1面記事になった割には、国内でもあまり騒がれていない防衛省の対サイバー兵器のニュース(防衛省が対サイバー兵器、攻撃を逆探知し無力化 : 社会 : YOMIURI ONLINE(読売新聞))ですが、海外の反応も地味なものです。 The Hacker News (THN)が「富士通が”seek and destroy”なサイバー戦用のウイルスを開発しているぞ」と、ちょっと取り上げているぐらいでしょうか。THNの記事には「日本の法律はコンピュータウイルスの製造を禁止しているのが障害」とか書かれていますが、それより問題は攻撃が武力攻撃に当たるかどうかなどではないでしょうか。 Japan developing cyber weapons for Counter Attacks | The Hacker News (THN) 何でしょう、半笑いなんですかね。カウンターアタック?政府委託の3年
Wikileaksに不正開示した外交公電を拘束中の陸軍隊員のPCから発見 - うさぎ文学日記
この1年は事件がありすぎて記憶の彼方かもしれませんが、アメリカの歴史の中でも最大の機密情報不正開示だと言われている、Wikileaksへの外交公電の漏えい事件が去年の11月末ごろにありました。その犯人と言われている米国陸軍のブラッドリー・マニング氏は、2010年5月ごろには逮捕されていますが、ようやく12月17日に陸軍基地内の法廷に初出廷しました。 そして彼のPCからZIPファイルに固められた1万通を超える外交公電が見つかったと、フォレンジック専門家が証言をしているようです。 Forensic Expert: Manning’s Computer Had 10K Cables, Downloading Scripts | Threat Level | Wired.com 外交公電のダウンロードには、wgetを使ったスクリプトを使い、国務省の文書データベースに直接アクセスして簡単にダウンロー
ハッキングで大学の成績を改ざん - うさぎ文学日記
米カリフォルニア州のサンタクララ大学でハッカーがコンピュータに侵入し、60以上の学生の成績を変更するという事件がありました。Mark Loiseauという25歳の電気工学の学生は、自分の18の成績のF評価を、Aに書き換えたとのこと。 ある女子生徒が成績が書き換わっていたことに気が付き、大学側が数十年さかのぼって調査を行ったようです。恐らく目くらましのために他の学生のも書き換えたようですが、それがあだになったと言うことでしょうか。 Hacker Schools University in Grade Change Caper | Threat Level | Wired.com 一般的な学校のシステムのセキュリティって、あまり高くはなさそうですね…。
今度はイスラエル政府がAnonymousの標的に - うさぎ文学日記
いくつかのイスラエル政府のWebサイトが日曜日にクラッシュし、イスラエル国防軍(IDF)、イスラエル諜報特務庁(Mossad)などいくつかの政府のWebサイトがオフラインになったようです。これはAnonymousのハッカーによるサイバー攻撃ではないかと言われています。 Anonymous attack on Israeli government & security services websites ~ THN : The Hacker News YouTubeにアップロードされたビデオには、Anonymousは、イスラエルがガザに対する包囲網を続ける限り攻撃を行うと警告しています。これは昨年5月に続き、数日前にもガザ支援船をイスラエルが阻止したことに起因するようです。 ガザ支援船をイスラエル軍が強襲、10人以上死亡 トルコ強く抗議 写真8枚 国際ニュース : AFPBB News(20
EUとUSで初の共同サイバーセキュリティ演習 - うさぎ文学日記
EUとアメリカとの間で初めてのサイバーセキュリティ演習が11月3日に行われました。EU’s Network and Information Security Agency (ENISA) と米国国土安全保障省の支援で、サイバー大西洋2011としてブリュッセルで開催されています。EUでは20の加盟国のうち、16が関与しているとのこと。 http://www.net-security.org/secworld.php?id=11884&utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+HelpNetSecurity+%28Help+Net+Security%29&utm_content=livedoor 1つめのシナリオは、いわゆる標的型攻撃「a targeted stealthy cyber attack (Advanced
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
XSS Filter 回避のためのチートシート(旧XSS Cheat Sheet) - うさぎ文学日記
水道局ハックの真実はロシア旅行中の職員のアクセスだった - うさぎ文学日記
CSRF generator搭載、Burp Suite Professional - うさぎ文学日記
Anonymousが今度はメキシコの麻薬カルテルと対決 - うさぎ文学日記
