cloudpackエバンジェリストの吉田真吾(@yoshidashingo)です。 昨日、DevLOVE現場甲子園2014東日本大会に参加して現場目線でのAWSセキュリティあるある的な話をして来ました。 その際にAWSのセキュリティ全般について知りたい場合に何を読めばいいか質問されたので、こちらで紹介しておきたいと思います。 AWSセキュリティセンター 1. AWSセキュリティ概要 ストレージデバイスの廃棄**の章では、ストレージデバイスが製品寿命に達した場合に、DoD 5220.22-M または NIST 800-88 に記載されている技術を用いてサニタイズを行ってから廃棄されるということが書かれています。 2. AWSセキュリティのベストプラクティス AWSの共有責任モデルを知る (1) Infrastructure servicesにおける共有責任モデル (2) Container
※ スパム喰らった人は、読んでれば見覚えのあるものも含まれているかもな。会社名ころころ変えながら名簿集めて儲けているグループ。ここがリストをガメたのが振り出し。二次流出があって、いっせいにスパムが広がった。 http://ameblo.jp/deaikeidaisuki/entry-10094002799.html http://fc2koko2.blog120.fc2.com/blog-entry-75.html http://www.deai-mania.jp/tag/%E3%82%AA%E3%83%95%E3%82%A3%E3%82%B955 ※ 流出元。はい、指導入ってるっス問題業者っス。全部書いてあるから、瞼広げて全部読んどけ。な。 http://siena-beauty.com/ http://spam-db.jp/bin/bld.php?link=siena-beauty.c
■ 「NoScript」をやめて「RequestPolicy」にした セキュリティ屋が、Firefoxユーザに「NoScript」の使用を推奨することがしばしばあるが、私は賛同しない。 JPCERT/CC、技術メモ「安全なWebブラウザの使い方」を公開, INTERNET Watch, 2008年11月4日 *1 技術メモ − 安全なWebブラウザの使い方, JPCERT/CC, 2008年11月4日 IV. 各 Web ブラウザに共通する設定上の注意事項 1. スクリプト等の実行を制限する JavaScript 等のスクリプトや(略)は(略)Ajax に代表されるインタラクティブなインターフェースが実現できるなど、高い利便性が得られます。反面、PC 上の重要なファイルを削除・変更するなど、悪意を持った処理が行われる可能性もあります。従って無制限にスクリプト等を実行できるようにしておくのは
米Comodo Security Solutions, Inc.は13日(現地時間)、フリーの統合セキュリティソフト「COMODO Internet Security」v3.9.95478.509を公開した。本バージョンでは、有志らによるメニューなどの翻訳が行われ、新たに日本語をはじめとする19カ国語に対応した。編集部にて試用したところ、メイン画面の一部の説明文やヘルプファイルが英語表記であるほかは、ほぼすべての項目が日本語化されており、利用の際のハードルが非常に低くなっている。 「COMODO Internet Security」は、ウイルス対策機能やファイヤーウォール機能などを備えた統合セキュリティソフト。とくにファイヤーウォール機能には定評があり、ファイヤーウォールの性能を測る海外のコンテストでも常に上位にランクインしている。 また、ウイルス対策機能としては、常駐監視や手動によるウイ
実名などの個人情報を公開することは大変危険です。 実名さえ分かれば、住所や電話番号などを調べることが可能なのです。 TELECOREというテレコア株式会社が運営する個人情報紹介サービスをご存知ですか。 このサイトを利用すれば、あなたの住所や電話番号を調べることができてしまうかもしれません。 私の住所や電話番号は簡単に検索することができてしまいました。 TELECORE(テレコア)無料電話番号検索サービス ■TELECOREで個人情報を検索する方法 「無料検索ログオン」と書かれたボタンをクリックすると、個人情報を検索するページへ移動します。 このサイトで個人情報を調べる方法は、大きく分けて3つあります。 1. 都道府県と市区町村を入力し、苗字を入力し、検索ボタンを押す。 2. 都道府県と市区町村を入力し、苗字と名前を入力し、検索ボタンを押す。 3.
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 小さな話題が面白い 皆さん、はじめまして。はせがわようすけと申します。 「教科書に載らないWebアプリケーションセキュリティ」ということで、Webアプリケーションのセキュリティに関連する、普段あまり見掛けないような小さな話題を取り上げていきたいと思います。 セキュアなWebアプリケーションを実現するために、開発者の方だけでなく、Webアプリケーションの脆弱性検査を行う方々にも読んでいただきたいと思っています。重箱の隅を楊枝でほじくるような小さな話題ばかりですが、皆さんよろしくお願いします。 さて第1回は、Internet ExplorerがHTMLを解釈する際の引用
トマト@ネットワーク云々担当です。 サーバを運用していると、攻撃や、不正アクセスを受ける事はよく有ります。 今回は、SSHへの連続的な攻撃を、サーバで判断し、自動でアクセスを拒否するスクリプトを紹介します。 攻撃の判断基準は、存在しないユーザでのアクセスと、存在しないユーザで、パスワード間違いの接続、存在するユーザで、パスワード間違いの接続の3種類です。 スクリプトの内容的には、crontabを使用し、一定間隔でログファイルをチェック、指定回数以上の攻撃を検知すると、hosts.denyファイルにて、該当IPからのSSH接続を拒否すると言う物です。 最新ファイルは、コメント欄のURLからダウンロード出来ます。 以下のコードを、コピー&ペーストで使用しないで下さい。 ※環境により、不用なコードが入ってしまう場合があります ssh-check.sh #!/bin/sh #-----------
はてなブックマーク(以下「はてブ」)がリニューアルされ、ブラウザからブックマークレットでブックマーク登録(以下「ブクマ登録」)しようとすると、図1の画面が現れるようになった。「こちらから再設定をお願いします」と指示されているが、この指示に従ってはいけない。ここで提供されている新型ブックマークレットは使ってはいけない。(この指示には従わなくてもブクマ登録はできる。) 新型ブックマークレットを使用すると図2の画面となる。ブクマ登録しようとしているWebサイト(通常、はてな以外のサイト)上に、はてブの画面のウィンドウが現れている。これは、Ajaxと共に近年よく使われるようになった「ページ内JavaScriptウィンドウ」である。(ポップアップウィンドウとは違い、ウィンドウをドラッグしてもブラウザの外に出すことはできず、あくまでも表示中のページ上のコンテンツであることがわかる。)
こんにちはこんにちは ! ! はまちや2です! 今日からぼくと一緒にWebプログラミングのセキュリティについて、ちょっぴり勉強してみませんか!今回はHTTPがどんなやりとりをしているのか、簡単におさらいしてみましょう!
猛威をふるったBlasterワーム。これが大流行したのは2003年でしたが、いまだにこのワームの痕跡はインターネット上に残っています。その理由の1つは、いまだにセキュリティパッチが適用されていないホストが残っていることにもあります。今回は脆弱なホストや設定ミスによって発生する「穴」への攻撃を見抜く方法を解説します(編集部) ※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 不正中継、踏み台といった脆弱なホストの悪用 インターネット上には、
■ 無線LANのMACアドレス制限の無意味さがあまり理解されていない 職業マスメディアに代わって、ブログスタイルのニュースサイトが人気を博す時代になってきた。海外の話題を写真の転載で紹介する安直なニュースも人気だ。 このことろなぜか、無線LANのセキュリティ設定について書かれた記事を何度か見た。おそらく、ニンテンドーDSがWEPしかサポートしていないことが不安をもたらしている(そして実際に危険をもたらしている)ためだろうと思われる。 セキュリティの解説が増えてきたのはよいことなのだが、内容に誤りのあるものが少なくない。 実は危険な無線LAN, らばQ, 2007年10月21日 この記事には次の記述があるが、「接続されなければMACアドレスは盗まれない」という誤解があるようだ。 MACアドレスというのは、機器固有のIDのようなものです。たいていの無線LANアクセスポイントにはMACアドレスフ
医者や弁護士は、カクテルパーティーのような場では自分の職業をあまり人に明かしたがらないという話を聞いたことがある。それを耳にしたほかの出席者が病気や法律問題に関するアドバイスを求めて周囲に集まり、無料相談の輪が形成されてしまうからだ。昨今のパーティーでは、コンピュータセキュリティの分野で働いているとほのめかそうものなら、あっという間にそういった輪ができるのは間違いない。セキュリティ専門家が出席していると聞けば、誰もが動作の遅くなったPCや煩わしいポップアップウィンドウに関してアドバイスを求めようと思うのは無理からぬことだ。 情報セキュリティ専門家にとって、手元に本格的なツールセットがなくても、取りあえず応急対策を実施する必要がある、といったケースはよくある。本稿ではこういった場合のために、マルウェアに感染したマシンに対して利用できるポータブルなソフトウェアキットを作成する方法を紹介する。イ
プライバシーマークは、「個人情報を適切に管理している」と評価された事業者が使用できるマークです。 個人情報保護の管理レベルの向上やお客様からの信頼獲得のため、現在、約17,600社以上の事業者がこのマークを取得しています。 プライバシーマークを取得している事業者(付与事業者)は、プライバシーマークを通じて、「個人情報」を適切に取り扱っていることを取引先・消費者のみなさまにお伝えするとともに、日々、個人情報の保護・管理に取り組んでいます。
Internet Explorer の悪名高い Content-Type: 無視という仕様を利用すると、Atom や RDF/RSS を利用してXSSを発生できることがあります。条件的に対象となるWebアプリケーションは多くはないと思いますが、それでもいくつか該当するWebアプリケーションが実在することを確認しました。以下の例では Atom の場合について書いていますが RDF/RSS でも同様です。 例えば、http://example.com/search.cgi?output=atom&q=abcd という URL にアクセスすると、「abcd」という文字列の検索結果を Atom として返すCGIがあったとします。 GET /search.cgi?output=atom&q=abcd Host: example.com HTTP/1.1 200 OK Content-Type: ap
ウイルス、ワーム、ボットによる攻撃……ネットワーク上に存在する脅威は多種多様である。サーバにアクセスされた形跡を見て、それが通常のものなのか、それとも脅威なのかを判断するには知識と経験が必要となる。そこで本連載では、インシデント・ハンドリングのために必要な「問題を見抜く」テクニックを分野ごとに解説していく(編集部) ※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 インシデントを最終判断するのは「人間」 インターネットは、いわずと知れた世
_ 残り容量が数十Mバイトになっていた PCがなんかくそ遅いなーと思ってふと空きディスク容量をみたら、残り数十Mバイトまで減っていた。Folder Size for Windowsで各ディレクトリ単位のディスク使用量をながめてみたところ、 Thunderbirdでimapでアクセスしているアカウントのデータフォルダに、なぜか1GバイトオーバーのINBOXファイルがあった。なにこれ? 削除したけど別に動作には支障はなし。 puttyのlogが無限に追記されたよ……。数Gバイト。 昔ダウンロードしたCD/DVD-ROMのisoイメージファイルが、そこかしこに消されず残ってたよ。10Gバイトオーバー。 あと、細かいテンポラリディレクトリの中身とか消したら、30Gバイトくらい空いた。そこまでやって久しぶりにデフラグを起動したら、表示が真っ赤(ほとんど全部断片化されている)だったので、最適化実行中。
セミナー申し込みフォームがスパムの踏み台?:星野君のWebアプリほのぼの改造計画(1)(1/4 ページ) 朝7時。いつもより30分早く起きる。星野君、27歳の秋。 今日は、星野君がかねて希望していたWeb担当へ配属替えになる日。星野君の会社では創立記念日の今日を機に、Webに力を入れるための新しいチームが発足するのだ。 足取りも軽く、星野君は会社へ出社する。まだ、「Web担当になる」ということ以外、具体的なことは一切知らされていないが、とてもわくわくしている。 この会社では、人事発令があるときは1人ずつ社長室に呼ばれる。星野君が自席でそわそわしていると、一番に声が掛かった。 社長 「星野君、入りなさい」 星野君は2年ほど前にこの会社へ転職してきた。前職では、簡単なWebアプリケーションの作成やFlash作成などのコーディングが中心のWebデザインの仕事をしていた。Webデザインの仕事を希望
【関連記事】 本内容についてのアップデート記事を公開しています。あわせてご確認ください(編集部) Security&Trustウォッチ(60) 今夜こそわかる安全なSQLの呼び出し方 ~ 高木浩光氏に聞いてみた http://www.atmarkit.co.jp/fsecurity/column/ueno/60.html Webアプリケーションに対する攻撃手法の1つであるSQLインジェクションの存在は、かなり広く知られるようになった。しかし、その対策はまだ本当に理解されていないように思える。フォームから渡された値の特殊文字をエスケープしたり、PHPのmagic_quotes_gpcといった自動エスケープ機能をオンにするだけで対策したつもりになっていないだろうか。 基本はもちろん、セカンドオーダーSQLインジェクションやマルチバイト文字を利用したSQLインジェクションの攻撃パターンや、その対
高橋さんの唐突な一言で星野君たちはセミナーを受講することに。いままでのおさらいをするにはちょうどいい機会なのですが、集合場所にはまだ誰も来ていないようです……。 赤坂さん 「ごめーん。待ったぁー?」 星野君 「遅いですよ~」 赤坂さん 「ごめんねー。ちょっと寝坊しちゃってー」 赤坂さんはいつになく眠そうだ。 星野君 「いっつも寝坊してますよね」 赤坂さん 「まあ、いいじゃないー。間に合ったんだしさー」 星野君 「そうですね。さて……」 赤坂さん 「じゃあ、行こうかー」 星野君 「え。行っちゃうんですか?」 この日、星野君たちはセミナー会場に来ていた。テーマは「Web開発とセキュリティ」。なぜセミナー行くことになったのかといえば、例のごとく高橋さんの思いつきのような発言がきっかけだ。 高橋さん 「ねぇ。そろそろ仕事一段落するよね?」 星野君 「え?あ、はい」 高橋さん 「じゃあさ、今度の金曜
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く