Securing tomcat - OWASP
This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests. To view the new OWASP Foundation website, please visit https://owasp.org Status * Content should provide a link and references to - SecureTomcat - http://securetomcat.googlecode.com Released 14/1/2007 Updated 10/7/2014 https://tomcat.apache.org/tomcat-7.0-doc/security-howto.html https://tomcat.apache.org/t
20 ways to Secure your Apache Configuration
20 ways to Secure your Apache Configuration Updated on June 09, 2023 By Pete Freitag Here are 20 things you can do to make your apache configuration more secure. Disclaimer: The thing about security is that there are no guarantees or absolutes. These suggestions should make your server a bit tighter, but don't think your server is necessarily secure after following these suggestions. Additionally
Bsports | Nhà cái Bsport Uy tín - Đẳng cấp - Chất lượng
Trong thị trường cá cược ngày càng đông đảo nhiều nhà cái xuất hiện với nhiều quy mô khác nhau. Tuy nhiên, Bsports vẫn là sự lựa chọn hàng đầu và nhận được nhiều đánh giá cao từ người chơi. Nếu bạn muốn hiểu rõ hơn về nhà cái này thì hãy xem qua bài viết dưới đây nhé. Giới thiệu đôi nét nhà cái BsportsBsports là cổng nhà cái game cá cược uy tín hàng đầu Việt Nam. Hệ thống cá cược có giao diện độc
アメーバでセキュリティ欠陥 スパム攻撃、プロフ消去相次ぐ
サイバーエージェント運営のブログサービスで、セキュリティの欠陥による被害が相次いでいる。新しいミニブログ「アメーバなう」にスパム感染が広がったほか、「アメーバブログ」でもプロフィールが消える被害が次々見つかった。なぜこんな初歩的な対策漏れがあったのか。 ツイッターのモノマネとして話題の「アメーバなう」が、最初からつまずいた。携帯電話版が始まった翌日の2009年12月9日、古典的なスパム感染が起きたのだ。 2005年4月のミクシィ被害と酷似 それは、「こんにちはこんにちは!!」という投稿を見て、記載のURLをクリックすると起きる現象だ。勝手に同じ投稿をさせられたうえ、「はまちや2」というユーザーを自動的にフォローしてしまうのだ。 ネットユーザーには見覚えのあるスパム投稿に違いない。それは、ミクシィで05年4月に広がった被害と似ているからだ。そのときは、「ぼくはまちちゃん!」という投稿だった。
パスワード保存のお供に Crypt::SaltedHash - JPerl Advent Calendar 2009
パスワード保存のお供に Crypt::SaltedHash - JPerl Advent Calendar 2009 Perl に関するちょっとした Tips をのっけてみるよ。ちゃんと続くかな? こんにちは。はてなでは id:sfujiwara、それ以外のところでは fujiwara です。 Webサービスなどでユーザーのパスワードを預かる場合、「一方向ハッシュ関数を通した値を保存せよ」というのはよく知られた話だと思いますが、単に MD5 や SHA1 の値を保存するだけでは安全性に問題があります。 例えば Digest::MD5::Reverse というモジュールを使うと、MD5 の値を逆算することができてしまいます。 use Digest::MD5::Reverse; print reverse_md5("388c3c9c00e651cc163cbdd47f08c427"); # f
mod_evasive を導入してみる – MOMENTS
Ping一括配信サービス Pingoo! にPing を送ると、お返しに鬼のような連続アクセスがあるので困る。サービス自体は便利なのになあ。 ということで、Nuclear Elephant: mod_evasive をApache に組み込んで、連続アクセスを遮断するようにして対応してみる。 インストール Apache 2 でDSO が有効になっているならば、apxs を利用すれば簡単。Vine 3.2 では以下の手順でインストールできました。 $ wget http://www.zdziarski.com/projects/mod_evasive/mod_evasive_1.10.1.tar.gz $ gtar xvzf mod_evasive_1.10.1.tar.gz $ cd mod_evasive_1.10.1.tar.gz $ cd mod_evasive $ sudo /us
ke-tai.org > Blog Archive > iモードブラウザ2.0のJavaScript機能とかんたん認証を利用した不正アクセスの方法について
iモードブラウザ2.0のJavaScript機能とかんたん認証を利用した不正アクセスの方法について Tweet 2009/11/26 木曜日 matsui Posted in ニュース, 記事紹介・リンク | No Comments » フォーラムに複数の方からタレコミをいただきました。 (情報提供ありがとうございます) ドコモのiモードブラウザ2.0に搭載されているJavaScript機能と、かんたん認証を組み合わせた不正アクセスの方法について話題になっているようなので、ご紹介させていただきます。 まず時系列的にはこちらのエントリーが発端となっているようです。 → mpw.jp管理人のBlog iモード専用サイトのhtmlソースの閲覧方法 [mpw.jp] JavaScriptとDNSの書き換えを使って、IPアドレス制限がかけられたサイトからhtmlソースを抜き出す方法がまとめられていま
Slowloris HTTP DoS
Slowloris HTTP DoSCCCCCCCCCCOOCCOOOOO888@8@8888OOOOCCOOO888888888@@@@@@@@@8@8@@@@888OOCooocccc:::: CCCCCCCCCCCCCCCOO888@888888OOOCCCOOOO888888888888@88888@@@@@@@888@8OOCCoococc::: CCCCCCCCCCCCCCOO88@@888888OOOOOOOOOO8888888O88888888O8O8OOO8888@88@@8OOCOOOCoc:: CCCCooooooCCCO88@@8@88@888OOOOOOO88888888888OOOOOOOOOOCCCCCOOOO888@8888OOOCc:::: CooCoCoooCCCO8@88@8888888OOO888888888888888888OOOOCCCooooo
Apacheに新たな脆弱性発見 | スラド セキュリティ
ストーリー by hylom 2009年06月23日 15時12分 Slowlorisはワシントン条約で保護されている小型のサルだそうで 部門より Apacheに、DoS攻撃に繋がる脆弱性が新たに見つかったそうだ(本家/.記事より) この脆弱性は、これを利用したHTTP DoSツール「Slowloris」がリリースされたことから明らかになったとのこと。この攻撃ツールはApacheに不完全なリクエストヘッダーを送り続けるもので、Apacheが最後のヘッダが送られてくるのを待つ間、偽のヘッダを送ることで接続をオープンにし続け、Apacheのプロセスを一杯にさせるものだという。 脆弱性はApache 1.x、 2.x、 dhttpd、 GoAhead WebServer、そしてSquidにて確認されているが、IIS6.0、 IIS7.0、およびlighttpdでは確認されていないとのこと。 SA
Attack On a Significant Flaw In Apache Released - Slashdot
Zerimar points out a significant flaw in Apache that can lead to a fairly trivial DoS attack is in the wild. Apache 1.x, 2.x, dhttpd, GoAhead WebServer, and Squid are confirmed vulnerable, while IIS6.0, IIS7.0, and lighttpd are confirmed not vulnerable. As of this writing, Apache Foundation does not have a patch available. From Rsnake's introduction to the attack tool: "In considering the ramifica
printenv at xss-quiz.int21h.jp
printenv at xss-quiz.int21h.jp Your IP address: 133.242.243.6 () NameValue HTTP_ACCEPT*/* HTTP_CACHE_CONTROLno-cache HTTP_CONNECTIONclose HTTP_HOSTxss-quiz.int21h.jp HTTP_USER_AGENTHatenaBookmark/4.0 (Hatena::Bookmark; Analyzer) QUERY_STRING REMOTE_ADDR133.242.243.6 REQUEST_METHODGET REQUEST_SCHEMEhttp REQUEST_URI/
そろそろSQLインジェクションについてひとこと言っておくか。 - だらだらやるよ。
ちょっとSQL Injectionについて未だに情報が少ないのにいらついていたので。 というか対策ばっかりで何ができますよーってのはほとんどログインできますよーくらいじゃねえか。 具体的な攻撃方法もわからずにぼんやり対策してるだけの人多いような気がするのでちょっと攻撃方法書いとく。 SQLインジェクションってなに? アプリのユーザ入力領域からSQL文を注入されてしまうこと。 サーバでこういうコード書いてると、user_nameに「' or '1'='1';#」とか書かれて素敵なことになる。(mysqlの場合) String sql = "SELECT * FROM users WHERE = name = '"+user_name+"' AND password='"+user_password+"'"; 簡単に言うと、開発者の意図しないSQLをユーザの入力によって行う攻撃手法ですね。 S
DNSキャッシュポイズニング対策:IPA 独立行政法人 情報処理推進機構
本資料は、「DNSキャッシュポイズニングの脆弱性」の対策を更に促進することを目的としており、DNSキャッシュポイズニング対策の検査ツールの使用方法や、DNSの適切な設定方法に関する情報等をまとめています。 第1章では、DNSの役割とその仕組み、DNSキャッシュポイズニングの実現手法とその脅威を解説しています。 第2章では、DNSの問合せ動作を概説し、その動作の理解を深めて頂くための関連ツールとしてwhoisサービスやnslookupコマンドの使い方を説明しています。 第3章では、DNSキャッシュポイズニング対策の検査ツールとして活用できるCross-Pollination CheckツールとDNS-OARC Randomness Testツールの使い方と注意点をまとめてあります。 第4章では、BIND DNSサーバとWindows DNSサーバの適切な設定に関して具体的に記述してあります。
産総研 RCIS: 安全なWebサイト利用の鉄則
お知らせ: 情報セキュリティ研究センターは、2012年4月1日にセキュアシステム研究部門 (2015-03-31 終了) に改組されました。 2015年4月1日現在、一部の研究は情報技術研究部門に継承されています。 この解説について 目的: フィッシング被害を防止するWebサイト利用手順の確認 著名なブランド名や会社名を騙った偽のWebサイトを作り、人をそこに誘い込んでパスワードや個人情報を入力させてかすめ取る、「フィッシング」 (phishing)と呼ばれる行為がインターネットの安全を脅かしつつあります。フィッシングの被害を防止するには、利用者ひとりひとりが本物サイトを正しく見分けることが肝心です。 しかしながら、どうやってWebサイトを安全に利用するか、その手順のことはあまり広く知られていないようです。技術者達の間では暗黙の了解となっていることですが、市販のパソコンの取扱説明書には書か
Security NEXT(流出事例アーカイブ)
2024/03/19通知メール誤送信で応募者のメアド流出 - 東京・春・音楽祭 2024/03/19個人情報含む民生台帳が所在不明に - 鹿島市 2024/03/19JRA海外駐在員事務所でフィッシング被害 - メールボックスに不正アクセス 2024/03/18修学旅行中に教諭が生徒名簿を紛失 - 長岡市の中学校 2024/03/18複数端末がマルウェア感染、情報流出の可能性 - 富士通 2024/03/15メンテナンス中に本人確認資料画像データを誤消去 - 琉球銀 2024/03/14小学校児童の個人情報含むデータを保護者に誤送信 - 名古屋市 2024/03/14給付金支給対象者名簿を誤送信、第三者が関連施設内で共有 - 軽井沢町 2024/03/13FAX送信先の確認に使用した医療機関リストを誤送信 - 大阪府 2024/03/13顧客1671人に送信したアンケートメールで誤送信 -
メディア・パブ: DDoSのアタックサイズが40Gbpsを超え出した
DDoS(Distributed Denial of Service)の脅威が増している。 DDosとは,特定のコンピューターやルーターに不正なパケットを大量に送りこんで機能停止状態に追い込む手法のこと。狙われるのが商用サイトだけではなく,最近では政府機関サイトも対象になってきている。サイバー戦争の武器になってきているのだ。 そのDDoSの規模が,年々急拡大しているようだ。Arbor Networksの2008 Worldwide Infrastructure Security Reportによると,DDoSのアタックサイズが2007年に40ギガビット(Gbps)を超えるようになったという。同社が発表したアタックサイズの推移グラフを以下に示す。 同レポートはこちらから入手できる。 ◇参考 ・2008 Worldwide Infrastructure Security Report(Arbo
visited疑似クラスのビーコンを拾うサービスが登場 | 水無月ばけらのえび日記
行動ターゲティング広告は以前から存在していたが、今年の動向として新しいのは、行動を追跡する手段として、自サイトでの閲覧行動だけでなくよそのサイトでの閲覧行動まで追跡するタイプが現れたことだ。 (~中略~) 仕組みはこうだ。Webページのリンクは標準では青色で表示されるが、訪問済みのリンクは紫色に変わる。このリンクの表示色をJavaScriptなどのプログラムで取得することができれば、閲覧者が特定のサイトに行ったことがあるか否かを調べることができてしまう。 <style type="text/css> #sita-A a:visited{background:url("/beacon/site-A.gif")} #sita-B a:visited{background:url("/beacon/site-B.gif")} </style> <ul> <li id="sita-A"><a hr
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
[ヅラド] Apache Tomcat 5.5 の HTTPレスポンスヘッダ Server を変更する
IBM Newsroom
とくまるひろしのSession Fixation攻撃入門 - ockeghem's blog
