Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから

ブログ

2015年11月8日
phpMyAdmin に2段階認証を導入する方法(Google Authenticator 版)

はじめに MySQL を GUI で管理するのに非常に便利なツールとして phpMyAdmin がありますが、phpMyAdmin はメジャーなこともあり、非常に攻撃を受けやすいツールでもあります。 通常は、IPアドレス でアクセス制限をかけて管理するのですが、自宅環境などで IPアドレスを固定できない場合は制限ができません。環境によっては SSL での暗号化もできない場合があると思います。 ...
>>続きを読む

2015年10月27日
『徳丸浩のWebセキュリティ教室』を読んだ感想

はじめに 待望の徳丸先生の新刊が発売になりましたね。 今まで定番だった徳丸本(『体系的に学ぶ 安全なWebアプリケーションの作り方』)にも載ってない内容があり、勉強になります。セキュリティ関連の本は随時アップデートが必要ですね。 本書の構成は、インタビュー、第一章で概要、第二章で攻撃手法、第三章で対策となっています。 インタビュー インタビューはかなり厳しい内容になっています。開...
>>続きを読む

2015年10月22日
Windows 版 OpenSSH が登場したので使い方を解説してみる

お知らせ Windows 10のアップデートで、Windows 10では正式版の OpenSSH サーバーを立ち上げられるようになりました。詳しくは以下の記事をご参照ください。 OpenSSHサーバーがWindows10に正式にやってきた(April 2018 Update/1803) はじめに Windows を SSH でコマンドラインから制御したいという要望は、Windows の...
>>続きを読む

2015年10月6日
JPCERT が CSRF 対策の資料を公開しました

クロスサイトリクエストフォージェリ(CSRF)とその対策 (PDF) JPCERT が クロスサイトリクエストフォージェリ(CSRF) 対策の資料を公開しました。 PDF の資料ですが、約100ページとかなりのボリュームになっています。 これだけ CSRF について詳細な解説記事はあまりないのではないでしょうか。 内容としては、CSRF の簡単な解説と対策、事例を紹介したあと、CSRF 対策ライブ...
>>続きを読む

2015年7月20日
「基本がわかる安全設計のWebシステム」を読んでみた

「基本がわかる安全設計のWebシステム」が Amazon から届いたので、早速読んでみました。 Web システム開発で一番不幸なのは、セキュリティ対策を行わないで、リリース後に問題が発覚して炎上してしまうことです。そうすると、社会的信頼も失いますし損失も大きなものになってしまいます。 実際、以下のように SQL インジェクションの対策もれで開発会社に責任を認め、賠償金を支払うよう判決が出た裁判...
>>続きを読む