Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから

ブログ

2015年12月25日
「発注者のためのWebシステム/Webアプリケーションセキュリティ要件書」が OWASP に移管されていた

以前、トライコーダ社によって公開されていた「発注者のためのWebシステム/Webアプリケーションセキュリティ要件書」が OWASP に移管されていました。もともとの文書を知らない方も多いかもしれませんね。 最新資料のダウンロードはトライコーダ社のページから行うことができます(PDF)。 発注者のためのWebシステム/Webアプリケーションセキュリティ要件書 | 株式会社トライコーダ もともと、...
>>続きを読む

2015年12月22日
CakePHP 2.x, 3.x の最新版はメールヘッダインジェクション対策は不要

はじめに 現在、PHP を学習中で、フレームワークとして  CakePHP も学習しているのですが、CakePHP 2.2.0 の時にはメールヘッダインジェクションの脆弱性があると以下の書籍で読んで、ちょっと衝撃を受けているところです。自分でメールヘッダの改行コードを削除する必要があります。フレームワークが脆弱性を起きないようにする仕組みを持っていないということに驚きました。 ちなみに、以下の書籍...
>>続きを読む

2015年12月11日
WordPress の「SiteGuard WP Plugin」が無償利用可能であることをやっと確認できた

ニュースリリース 「SiteGuard WP Plugin」無償提供開始 WordPress のセキュリティプラグインである「SiteGuard WP Plugin」ですが、今まで WordPress サーバー側に「SiteGuard Lite」がインストールされていないと使用できないのではないかと思っていたのですが、無償で問題なく使用できることが分かりました。 上記ニュースリリースには以下のよう...
>>続きを読む

2015年12月9日
Let's Encrypt の SSL証明書を Apache を停止しないでインストールする方法

はじめに 2016年4月13日追記 Let's Encript の正式版がリリースされました。若干変更があるので、詳しくは下記記事を参照してください。 無料SSL/TLS証明書のLet's Encrypt が正式版になったので自動更新を含めて試してみた ------ 以下の記事では、Let’s Encrypt Client の Standalone プラグインを使用...
>>続きを読む

2015年12月9日
Let's Encrypt の SSL証明書を CentOS 7 にインストールしてみた

はじめに 2016年4月13日追記 Let's Encript の正式版がリリースされました。若干変更があるので、詳しくは下記記事を参照してください。 無料SSL/TLS証明書のLet's Encrypt が正式版になったので自動更新を含めて試してみた ------ 先日の記事では、CentOS 6.7 にパブリックベータの Let’s Encrypt をインストールし...
>>続きを読む