タグ

関連タグで絞り込む (19)

タグの絞り込みを解除

Securityに関するsunaokaのブックマーク (131)

  • mod rewriteを使用した簡易WAF

    Last Updated on: 2018年8月8日http://www.0x000000.com/?i=567 にmod rewriteを利用した簡易WAF(Web Application Firewall)の定義例が掲載されています。同じようなアイデアをお持ちの方、既に似たような設定を使われている方も多いとは思います。 簡単なWAFですが、実用性も高いです。例えば、ヌル文字やHTML特殊文字のインジェクションは様々な攻撃で利用されます。アプリケーションで対処が忘れられがちなCOOOKIEやREFER、USER_AGENT等に特殊文字が入っていた場合にアクセスを拒否する部分だけもで導入する価値は十分にあると思います。 元ネタのサイトは英語ですが、解説付きです。 これを入れると問題となる場合もあるので、内容を理解してから利用しなければなりません。 RewriteEngine On Opti

    mod rewriteを使用した簡易WAF

  • Bugtraq

  • 【スクリプトインジェクション対策03】セッションIDが利用できる範囲を制限する | gihyo.jp

    クッキーには参照可能な範囲を制限する機能が定義されています。 パス プロトコル スクリプトからのアクセス の3種類の制限方法があります。制限するのではなく、反対に参照可能な範囲をドメインパラメータで増やすことも可能です。当然ですが参照可能なドメインを増やすのは好ましくありません。セッションIDを共用するアプリケーションが増えれば増えるほど、スクリプトインジェクションなどでセッションIDが漏洩するリスクが増加します。 同じドメインで複数のアプリケーションを利用している場合、パスでセッションIDを保存したクッキー送信を制限することができます。例えば、www.example.comドメインの/myapp/以下にアプリケーションがインストールされている場合、session_set_cookie_params関数を用いて以下のURLからのみクッキーを参照可能に設定できます。 http://www.e

    【スクリプトインジェクション対策03】セッションIDが利用できる範囲を制限する | gihyo.jp

  • connect - Trac

    connect.c is the simple relaying command to make network connection via SOCKS and https proxy. It is mainly intended to be used as proxy command of OpenSSH. You can make SSH session beyond the firewall with this command, Features of connect.c are: Supports SOCKS (version 4/4a/5) and https CONNECT method. Supports NO-AUTH and USERPASS authentication of SOCKS Partially supports telnet proxy (experim

  • Amazonほしい物リスト、個人情報漏れまくりで祭に発展 |デジタルマガジン

    2008.03.12 1:18     Amazonが今月7日より「ウィッシュリスト」を「ほしい物リスト」へと改名した。ウィッシュの意味あいがより日人向けになったカタチだ。しかし、この変更で今とんでもないことが起こっている。 「ほしい物リスト」とは、名前の通り欲しい物のリストのことだ。コレが欲しいから送ってくれ!という意味でもある。そして知り合いの欲しい物が調べられるように「ほしい物リスト サーチ」というサービスがあわせて登場したのだが、個人情報がダダ漏れなのだ。 このサービス、名前とメールアドレスのどちらかで検索することができるのだが、このメールアドレスが曲者だ。率直に言おう。メールアドレスが分かればその人の名を知ることができる。 もちろんAmazonに登録しており、なおかつウィッシュリストを利用していなければいけないのだが、コアなネットユーザーほど登録している場合が多い。某

  • Amazonのすごいアクセス解析サービス - ぼくはまちちゃん!

    こんにちは! Amazonほしい物リスト、すごい話題になってますね! なんでも、メールアドレスで検索すればAmazonに登録してある名がでてくる (ケースもある) とか…。 で、さっそくぼくも試してみたよ! ほしい物リストサーチ! これって、いま話題になっているのは、誰かのメールアドレスを手がかりにして ウィッシュリストや名、下手すると住所まで知られてしまうってところだよね。 それだけでも面白いんだけど、 あまり注目されていない機能として、こんなものがあったよ。 友だちにほしい物リストについて知らせる これ。 自分のほしい物リストを誰かにメール送信できちゃう機能らしいね! じゃあ試しにメール送信時のリクエストを確認してみると… http://www.amazon.co.jp/gp/registry/send-nudge.html?ie=UTF8&type=wishlist&__mk_j

    Amazonのすごいアクセス解析サービス - ぼくはまちちゃん!

  • CAPTCHAは愚策:江島健太郎 / Kenn's Clairvoyance - CNET Japan

    最近ようやく初級プログラマーを卒業できた手応えのようなものを感じており、いよいよコードを読み書きするのが楽しくてしょうがない段階になってまいりました。 こういうとき、Rubyは初心者にもやさしいけど、上達すればどこまでも上のステージが用意されているような、まるで自然言語のようななめらかさ・しなやかさがあって、ほれぼれとします。デザインの美しいものに触れているときには人間はこんなにも幸せになれるのか、という感じですね。ときに、今回のブログネタは、デザインの悪いものに出会うとこんなにも気分が悪くなるのか、という話なのですが。 なお、新プロジェクトではデザイナーのクリスの勧めでHamlを使うことにしたり、アーキテクトのダニーの設計でJavascriptにPublish-Subscribe型の(つまり一対多の)コールバックのフレームワークを作ってみたり、ReallySimpleHistoryを使い

    CAPTCHAは愚策:江島健太郎 / Kenn's Clairvoyance - CNET Japan

  • Taint mode for PHP 5.2.5

    Last Updated on: 2018年8月13日PHPのTaintモードパッチです。最近更新されていたようです。 ftp://ftp.porcupine.org/pub/php/php-5.2.5-taint-20080130.README.html Taintモードはあれば良い程度の機能ですが、フールセーフ機能(フェイルセーフでなくフールセーフ – fool safe)としては便利です。入力バリデーション用のコードは必須ですが、そのようなコードが無い場合やあっても不完全な場合には有用です。 PHP 5.2.5よりCVS HEADとPHP_5_3ブランチ用のパッチを作った方が採用されやすいのですが…. このパッチは関数毎に違うマークを付けるtaintモードなのでかなり大きいです。(+遅い)

    Taint mode for PHP 5.2.5

  • ffftpでsftpが使える、tunnelier - UNIX的なアレ

    ちょっと強引なやりかたではありますが、ffftpを利用してsftpでファイルを転送する方法を紹介します。 実際は、WinSCPなどを使えば問題ないのですが、慣れたインターフェイスで作業をしたいと思う方もいらっしゃると思います。 今回は、ffftp 等でもsftpでファイル転送ができるTunnelierというアプリケーションを紹介したいと思います。 Tunnelierをダウンロード さて、それではTunnelierをダウンロードしましょう。以下が公式サイトになります。 Bitvise SSH Client | Bitvise Tunnelierをインストール。 インストールはきわめて簡単。ssh関連はすべて組み込まれています。 Tunnelierを使ってみる それでは、Tunnelierを使用してみましょう。 インストールが完了したら、Tunnelierを立ち上げてください。下記の画面になる

    ffftpでsftpが使える、tunnelier - UNIX的なアレ

  • Category:OWASP Fuzzing Code Database - OWASP

    This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests. To view the new OWASP Foundation website, please visit https://owasp.org This database is a collection of several statements used in code injection, fuzzing and brute-force aproach. All too often security professionals rely on their own repositories of statements collected from assessments they've conducte

  • printenv at xss-quiz.int21h.jp

    printenv at xss-quiz.int21h.jp Your IP address: 133.242.243.6 () NameValue HTTP_ACCEPT*/* HTTP_CACHE_CONTROLno-cache HTTP_CONNECTIONclose HTTP_HOSTxss-quiz.int21h.jp HTTP_USER_AGENTHatenaBookmark/4.0 (Hatena::Bookmark; Analyzer) QUERY_STRING REMOTE_ADDR133.242.243.6 REQUEST_METHODGET REQUEST_SCHEMEhttp REQUEST_URI/

    sunaoka
    sunaoka 2008/02/01
    まずは #14 まで。難しい。
    リンク

  • 携帯でも使えるSSL証明書を発行してくれる 1万円以下のところを探して下さい。…

    携帯でも使えるSSL証明書を発行してくれる 1万円以下のところを探して下さい。 現在最安値は下 http://www.trustlogo.co.jp/index.htm Geotrust系は高いのしかダメみたいでーす。

  • SSL Certificates Support

    sunaoka
    sunaoka 2008/01/30
    RapidSSL - Test Page
    リンク

  • SSLセキュア | SSLサーバ証明書を格安販売

    SSLサーバー証明書で売上げアップ ショッピングカートはもちろん、資料請求やお問合わせなど、個人情報を入力させるフォームがある場合は、SSLサーバ証明書で、暗号化による情報漏えい防止とサイト運営者情報を表示し、ユーザが安心してウェブサイトを利用できるようにしましょう。 SSLセキュアなら年間費用1,600円から利用できます。 サイトシールで安全性アピール! サイトシールは各SSL証明書発行会社の認証サービスを受けていることの証明であり、サイトシールの表示により、第三者認証局に認証されていることが一目でわかるため、ユーザに安心してサイトをご利用いただけます。 なりすまし防止強化で安心を フィッシング詐欺対策として有効なのが、実は「SSLサーバー証明書」。「誰が運営者なのか?」を証明する。それがなりすまし対策の重要なポイントです。 携帯サイトやスマホにも対応! 携帯電話・スマートフォンからの接

    sunaoka
    sunaoka 2008/01/30
    QuickSSL と RapidSSL の違い
    リンク

  • http://blogged-on.de/xss/

  • [Think IT] 第2回:PHPのSQLインジェクションを実体験 (1/3)

    セキュリティ最前線】 セキュリティホールをついて遊ぶ 第2回:PHPSQLインジェクションを実体験 著者:大垣 靖男 公開日:2008/1/18(金) PHPSQLインジェクションを実体験 記事では、セキュリティに対する課題を実体験していく。第2回となる今回は、いよいよ実際にテスト環境を構築し、攻撃を行う。標的となるのはWebシステムの開発で幅広く利用されている「PHP」だ。 PHP体にはWebブラウザからの入力のデコード処理をはじめとして、Webシステム開発に必要不可欠な機能が組み込まれている。2008年1月3日に最後のPHP 4.x系のリリースとなる「PHP 4.4.8」がリリースされ、これ以降PHP 4.x系の開発は行われなくなった。現在はPHP 5.x系のPHP 5.2.5のみがPHPプロジェクトにより正式にサポートされている状態だ。 データベースサーバへのアクセスもWe

  • 実践 パケット解析

    TOPICS Security 発行年月日 2008年01月 PRINT LENGTH 200 ISBN 978-4-87311-351-7 原書 Practical Packet Analysis FORMAT WiresharkはEtherealプロジェクトから派生した人気のネットワークアナライザです。インストールも簡単ですぐにパケットをキャプチャできます。しかしキャプチャしたパケットの分析は、簡単とはいえません。書は、Wiresharkでプロトコルの中身を見ながらネットワーク上で実際に何が起こっているかを理解する方法について学ぶ、ネットワークトラブルシューティングの指南書です。ネットワーク上で起こるさまざまな問題に対応しなければならい技術者必携の一冊です。 監訳者まえがき まえがき 1章 パケット解析とネットワークの基礎 1.1 パケット解析とは? 1.2 パケットスニッファの評価

    実践 パケット解析

  • SQL Injectionツール - teracc’s blog

    ここのところ、いくつかのSQL Injectionツールについて調べていました。今日はその結果を日記に書いてみようと思います。 はじめに SQL Injectionツールとは SQL Injection脆弱性の発見と、発見した脆弱性を突いてのDB内情報の取得を行なうためのツールです。 ただし、多くのツールでは「脆弱性の発見」はおまけで、後者のDB内情報の取得に主眼を置いています。一般的には、汎用のWeb脆弱性スキャナなどで脆弱性を見つけて、その脆弱性に対してこの日記に書いているようなツールを使って情報を取得するという使い方をすることが多いでしょう。 SQL Injectionツールは、いわゆるHackingツールです。脆弱性検査を行なう者か、さもなければCrackingを行なう犯罪者が使うくらいで、一般のWeb開発者やユーザの人が使う必要に迫られることは無いでしょう。 ツールの使用に際して

    SQL Injectionツール - teracc’s blog

  • Rauru Blog » Blog Archive » MD5破りにGoogleを活用

  • 第10回 RSSのセキュリティ | gihyo.jp

    RSSでWebページの更新情報を提供することが多くなりました。ブログソフトウェアやCMS(コンテンツ管理システム)では自動的にRSSフィードを生成してくれます。また、RSS情報を取得し見やすく整形して表示するRSSリーダーを使用してWebサイトの巡回をしている人も多いと思います。今回は、RSSフィードを提供する場合のセキュリティRSSリーダーのセキュリティについて考えていきます。 RSSフィードのフォーマット RSSにはいくつかのバージョンが存在します。RSS1.0、RSS2.0、Atomがよく使われています。たとえばRSS2.0は以下のようなXML形式のファイルです。このようなRSSフィードをWebサイト運営者が作成し、RSSリーダーがRSSフィードを読み込み、整形して表示するという流れになります。 <?xml version="1.0" encoding="utf-8"?> <rss

    第10回 RSSのセキュリティ | gihyo.jp
  • 1 2 3 4 5 6 7 次のページ

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2026 Hatena. All Rights Reserved.