この投稿はパスワードで保護されているため抜粋文はありません。
カテゴリー: セキュリティ
Windows Server パブリック環境 危険なデフォルトポートを止める
パブリックで必要のないポート 445 microsoft-ds 137 netbios-ns 138 netbios-dgm 139 netbios-ssn ファイルやプリンターを共有するSMB関連のポートです。 ポートを止める 【Windows ファイアウォール】 >> 【詳細設定】>> 【セキュリテ …
Apache2.4 IPでのアクセスを禁止する 公開したくないサイトの公開
こういう時! 身内向けの向けのコンテンツの公開 不特定多数に見せたくはないが、ガチガチにセキュリティで管理する必要はない 利便性は欲しいからインターネットでカジュアルにブラウザ閲覧したい Googleにインデックスされたり、想定していないアクセスは制御したい そういう用途ってあるのですよね。 IPでの直接アクセス禁止 # vi /etc/ht …
CentOS7 ネットワーク初期設定 Firewalld
クラウド環境が多いのでそんなに設定することはないけれど。 ホスト名設定 # hostnamectl set-hostname web1.example.com デバイス確認 # nmcli d DEVICE TYPE STATE CONNECTION ens160 ethernet connected ens160 lo loopback unmanaged — # vi /etc …
CSRF対策
どういう攻撃なの? 攻撃者のサイトから、別のサイトにPOSTなどのメソッドを利用してフォーム送信が出来ることを利用した攻撃。 CSRF(cross-site request forgeries) クロスサイトリクエストフォージェリ、サイト間でのリクエストの強奪 CSRF脆弱性 以下のような攻撃(CSRF攻撃)を可能にする脆弱性を指す[1]:攻撃者はブラウザなどのユーザ・ …
SQLインジェクションに対応したクエリ方法 メモ
<?php $dbh = new PDO(‘mysql:host=DBHOST;dbname=test;charset=utf8’, USERNAME, PASSWORD); $dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); // 静的プレースホルダを指定 $sth = $dbh->prepare(“sel …
クリックジャッキング
プレゼント当選などを謳ったサイトに、透名化した罠サイトを重ねて、ユーザの意図せず罠サイトのボタン等をクリックさせる方法。 対策 Apacheの場合、.htaccessに下記を追加する Header set X-FRAME-OPTIONS “DENY” Amazonおすすめ iPad 9世代 2021年最新作 iPad 9世代 …
画像スクリプトインジェクション
画像の中にJavaScriptやPHPなどのコードを埋め込んだ攻撃。 古いブラウザ、IE8の時点でもう発動しないので忘れて良い? 対策 拡張子 イメージ関数でチェックする <?php if (count(token_get_all($image)) >= 2) { die(‘画像スクリプトインジェクションが検出’); } 参考 https://blog. …