‘セキュリティ’ カテゴリーのアーカイブ

講習会「サーバセキュリティ」

「サーバセキュリティ」というタイトルで社内勉強会を開催しました。普段の勉強会ではSQLインジェクションやXSSなどWebアプリケーションのセキュリティの話題が多く、サーバのセキュリティについては人によって知識がまちまちなので、簡単にまとめてみました。普段サーバをいじらないポジションの人でも、セキュリティフィックスを当てる際にお客さんに説明することはあるでしょうから、サーバまわりについても概要を知っておいた方が良いと思います。

まとめ

  • remote exploitは要注意
    • セキュリティフィックスが出たらすぐ適用すべき
  • 公開サーバは常時パスワード総当たり攻撃を受ける
    • 簡単なパスワードをつけない
    • 可能ならパスワードログインを禁止すべき
  • トロイの木馬は現実にあり得る脅威
  • うっかりopen proxyを作ったりしないように

(続きを読む…)

セキュリティ講習(7)Same Origin Policy

「Webセキュリティ (7)Same Origin Policy」というタイトルで社内勉強会を開催しました。今まで1回も公開してないんですが、実はセキュリティの社内講習会は7回目です。近いうちに残りの6回分も公開します。

まとめ

  • Same Origin Policy
    • 同一ホストだけ信用するポリシー
      • 同一ホストのみ別URLのDOM操作が可能
    • 崩されると間接攻撃されるのと同等の脅威

「信用できないユーザが同一バーチャルサーバにJS/HTMLを設置できる場合、セキュリティ的にアウトだよ」ということを再確認しました。

(続きを読む…)

しつこいあいつは着信拒否

もう既にここでは、2つ目の投稿ですのではじめましてではありませんが軽くご挨拶をさせてください。
こんにちは、 たかはら(tumf) です。酒担当です。

酒好きのディノの中でもずっと酒量トップを張っていましたが、最近後継者が順調に育ってきたのでそろそろその座を譲ろうかと考えています。

PHPとか難しい事良く判らないのですがよろしくお願いします。

さて、本題。

サーバ大好きな私は、某所で個人用Linuxサーバを借りて我が子のように大事にしています。
その可愛い子が毎晩AM4:00のcronで起動するlogwatchで助けを求めてきます。


sshdへの攻撃跡

うちの子をいめるなんて許せません!いじめっ子を見つけて懲らしめてやりたいと思います。

と、いきごんでみたものの、懲らしめるなんて大げさな事はとてもできないので 着信拒否 という手で対抗します。

(続きを読む…)