@IT アクセスログの改ざんと検出方法
※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 前回「第5回 バックドアの検出と対処」はバックドアの検出と対処方法について説明した。最終回の今回は、攻撃者が侵入後に行うアクセスログの改ざんとその検出方法、さらにはログの調査方法について説明する。 ログの重要性 実際にサーバを運用管理する者なら、OSや各種ソフトウェアが出力するログの重要性は身に染みて分かっていることだろう。なぜなら、ログからはサーバを運用管理するうえで必要となるさま
ネットワークアクセス制御の基本――「正しいセキュリティ設計の考え方」入門
ネットワークアクセス制御の基本――「正しいセキュリティ設計の考え方」入門:セキュリティ・テクノロジー・マップ(1)(1/2 ページ) セキュリティ技術についての知識が必要になったけれど、学ぶべきことが多過ぎて何から手を付ければよいのか分からない。そんな方も多いのではないでしょうか? 本連載は、そんな皆さまのために、さまざまなセキュリティ技術の基本を一望できる「世界地図」を提供することを目指します。 セキュリティ製品を使うための“考え方”を身に付けよう セキュリティ製品の導入などに関わったことのある人で、「この製品は何を守るものなのだろう」「本当にこの配置でいいのだろうか」などと感じたことがある方は少なくないのではないでしょうか? ネットワークやサーバを適切に設計・構築し、セキュリティ製品を正しく選定・配置するには、各ベンダーのWebサイトにある「製品情報」などを見るだけでは、不十分です。
AWSアカウントを取得したら速攻でやっておくべき初期設定まとめ - Qiita
AWSアカウントを作成したら最初にやっておきたいことをまとめてみた。 あわせて読みたい 本記事の内容を含めた最新の手順は、下記の書籍にまとまっている。 クラウド破産を回避するAWS実践ガイド AWSアカウント(ルートアカウント)の保護 AWSアカウントが乗っ取られると詰むので、真っ先にセキュリティを強化する。 AWSアカウントへ二段階認証を導入 AWSアカウントでのログインは、AWSアカウント作成時のメールアドレス・パスワードだけでできてしまう。心許ないにもほどがあるので、まずは二段階認証を設定しよう。 IAMのページを開く https://console.aws.amazon.com/iam/home 「ルートアカウントのMFAを有効化」を選択して、「MFAの管理」ボタンをクリック 「仮想MFAデバイス」にチェックが入っていることを確認し、「次のステップ」ボタンをクリック 注意書きを読ん
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
OWASP ZAPをプロキシとして使用し、リクエストを再現して脆弱性チェックする方法 | Lancork
※当ブログではアフィリエイト広告を利用しています。 ペネトレーションテストツール「OWASP ZAP」でWEBサイトの脆弱性を簡易チェックする方法は以前、エントリにまとめましたが、フォームで入力チェックを行っている場合などはその方法では脆弱性を検知できないことがあります。 そのような場合でも「OWASP ZAP」をプロキシとして使用し、リクエストを再現すれば脆弱性を検知できるため、その方法をまとめます。 OWASP ZAPの簡易チェック(Quick Start)で脆弱性が発見できないのはどんな場合? 以前のエントリで紹介した方法では、指定したURLにOWASP ZAPが自動的にスキャンをかけて脆弱性をチェックしました。 しかしお問い合わせフォームなどでプログラムの先頭のほうで値の入力チェックを行う場合などは入力チェックエラー等で処理が途中で終わることがあります。このような場合、本来脆弱性が
FREAK についてまとめてみた - piyolog
輸出グレードのRSA暗号をサポートしていたことに起因する脆弱性FREAKに関する情報について関連情報をまとめます。 脆弱性概要 脆弱性の概要情報は次の通り。 愛称 FREAK (Factoring attack on RSA-EXPORT Keysの略) 輸出グレード暗号の強制使用に関する呼称 アイコン 無し CVE OpenSSL:CVE-2015-0204 Apple:CVE-2015-1067 Microsoft:CVE-2015-1637 発見者名 miTLS Inria(フランス国立情報学自動制御研究所)とMicrosoft Researchの合同チーム FREAK Attackの概要 中間者攻撃が行われるまでのFREAK Attackの流れは次の通り。(3月6日更新) MITMの攻撃成立条件 以下の条件が成立する場合、通信内容の盗聴や改ざんの影響を受ける可能性がある。 接続元・
Sony Japan|ソフトウェア脆弱性防止コーディングルール
ソニーが仕様を定めて作成・納品を依頼するソフトウェアにおいては、ソフトウェアセキュリティ上の脆弱性を出来るかぎり防止するために、原則として「ソフトウェア脆弱性防止コーディングルール(STM-0117 一般公開版)」*に規定するコーディングルールに従ったプログラミングをお願いしております。 ソニーはビジネスパートナーの皆様とともに、ソフトウェア脆弱性の防止に努力を重ねてまいりますので、ご協力のほど、よろしくお願いいたします。
PHPとMySQLのセキュリティー対策関数 | 株式会社フォレスト・コンサルタンツ
01/13 Re2:「福沢諭吉の正体」-補足1-東大話法の元祖(山根治) 01/13 Re1:「福沢諭吉の正体」-補足1-東大話法の元祖(Kan Yabumoto) 01/07 Re6: ホリエモンの弁解術 -1(Smitha695) 01/07 Re1:謹んで新年のご挨拶を申し上げます(須増) 12/01 Re25: 倉田まり子事件の真相 -その3(ナマナマ) 最近必要に迫られて、昔書いたプログラムの見直し作業をやっています。MySQLの処理の高速化がメインなのですが、それと並行してセキュリティチェックも行なっています。 PHPでは、クロスサイトスクリプティング対策には「htmlspecialchars()」を、MySQLのSQLインジェクション対策には「mysql_real_escape_string()」を使って、変数を安全なものにするのですが、これが美しくないし、様々な不都合が生じ
初心者Webアプリケーション開発者がチェックすべき情報源2013 - ハニーポッターの部屋
毎年恒例の診断前準備として開発者向けに、「初心者Webアプリケーション開発者がチェックすべき情報源」を集めているので、皆さんにもご紹介。他に追加した方が良い情報源があった場合はご指摘いただけると助かります。 上から重要な順。★の付いている「重点」がとりあえず読んどけ、の必須。 必須のポイントは、短期間で大雑把に網羅的にポイントが整理されているもの。 書籍としては、昨年の徳丸本「体系的に学ぶ 安全なWebアプリケーションの作り方」に加えて、「めんどうくさいWebセキュリティ」と「実践 Fiddler」をノミネート、「HTTPの教科書」を入れるか迷ったけど、まだ読んでないので保留。長谷川さんあたりから、何でJavaScriptの本がないんじゃ!といわれそうだけど・・・ とりあえず、昨年懸案だったスマートフォン関係を追加した。 インフラ関係は除外しているんだけど、プラットフォーム診断分もあったほ
組織における内部不正防止ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
組織内部者の不正による顧客情報や製品情報などの漏えいは事業の根幹を揺るがすインシデントであり、内部不正が発生するリスクの把握や効果的な対策の検討は、組織にとって喫緊の課題です。IPAでは、このような背景から、企業やその他の組織において必要な内部不正対策を効果的に実施可能とすることを目的として2013年に「組織における内部不正防止ガイドライン」を作成し、2022年4月に改訂版第5版を公開しました。 本ガイドラインは、内部不正防止の重要性や対策の体制、関連する法律などの概要を平易な文体で説明しており、「基本方針」「資産管理」「技術的管理」「職場環境」「事後対策」等の10の観点のもと、合計33項目からなる具体的な対策を示しています。 各対策項目では、「対策の指針」を冒頭に記し、対策しない場合のリスクと、具体的な対策のポイントを整理する構成としています。さらに、内部不正の事例のほか、自組織の内部不
CentOS で行なっておきたいセキュリティ設定: ある SE のつぶやき
はじめに Linux のセキュリティ設定ってなかなかまとまったものがないので、いろんなサイトを参考にしながら設定をまとめてみました。想定はWeb サーバーで、使用している Linux は CentOS 6.2 です。 設定内容は以下のようになります。 全パッケージのアップデート リモートからの root ログインを無効にする 公開鍵暗号方式を使用した SSH ログイン設定 iptables 設定 SSH ポート番号の変更 不要なサービスを停止 ログ監視設定 ファイル改ざん検知ツール設定 ウィルス対策ソフト設定 Apache の設定 全パッケージのアップデート 最初に以下のコマンドを実行して、全パッケージを最新の状態にする。 # yum –y update 後は脆弱性が発見された時、または定期的にパッケージのアップデートを行う。 リモートからの root ログインを無効にする リモートからメ
問題が起きる前に。Webサーバセキュリティチェッカー·Websecurify MOONGIFT
Websecurifyは主立ったWebサーバにおけるセキュリティチェックを自動化してくれるソフトウェアです。 Webサイトを巡るセキュリティ問題は多々あります。自動化されている攻撃ソフトウェアもあり、ちょっとした油断で一気に重要データが引き抜かれたり、逆に破壊されてしまう可能性があります。それを事前に確認すべく使っておきたいソフトウェアがWebsecurifyです。 メイン画面です。 テストを行うURLを入力します。実行前に確認が出ます。 テストの実行中です。 完了しました。 レポート画面でインシデントの詳細が確認できます。 Websecurifyは代表的と言えるセキュリティチェックについて自動で行ってくれます。SQLインジェクション、ローカルファイルの読み込み、クロスサイトスクリプティング、CSRFなど多岐にわたります。サーバの種別を判断した上でやり方を変えるので、より確度が高くなります
5分でできるPHPセキュリティ対策 - ぼくはまちちゃん!
こんにちはこんにちは!! Webプログラミングしてますか! よく「PHPはセキュリティがダメ」とか言われてるよね。 でもそれって、べつにPHPが悪いんじゃなくて、 たぶん、セキュリティとかが、まだよくわからない人が多いだけなんじゃないかな。 がんばって勉強しようと思っても、なんだか難しい理屈が並んでいたりするしね…。 なので今日は、セキュリティ対策について、 「これだけやっとけば、わりと安全になるよ」ってことを、初心者むけに、大雑把に書いてみます! 理屈がわからなくても、最初はコピペでも、 なにもやらないより、やったほうがきっとマシになる! 1. XSS対策 動的なものを表示するとき、全部エスケープすればokです! (NG) あなたの名前は <?= $name ?> ですね! ↓ (OK) あなたの名前は <?= htmlspecialchars($name, ENT_QUOTES) ?>
Webアプリケーションに対する広範なDoS攻撃手法(hashdos)の影響と対策
28C3(28th Chaos Communication Congress)において、Effective Denial of Service attacks against web application platforms(Webプラットフォームに対する効果的なサービス妨害攻撃)と題する発表がありました(タイムスケジュール、講演スライド)。 これによると、PHPをはじめとする多くのWebアプリケーション開発プラットフォームに対して、CPU資源を枯渇させるサービス妨害攻撃(DoS攻撃)が可能な手法が見つかったということです。この攻撃は、hashdos と呼ばれています。 概要PHPなど多くの言語では、文字列をキーとする配列(連想配列、ハッシュ)が用意されており、HTTPリクエストのパラメータも連想配列の形で提供されます。PHPの場合、$_GET、$_POSTなどです。 連想配列の実装には
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
