セキュリティ

標的型攻撃という言葉をご存知の方も多いと思います。 近年の流行りの攻撃として、全世界で問題になっている攻撃手法です。 今回はその対策について考えてみます。 ※なお、記載の内容については個人的見解であることをあらかじめご承知おき...

前回OSコマンドを実行することができるコンテンツを作成しました。 今回はその環境を使って、実際にOSコマンドインジェクションの検証を行っていきます。 なお、今回の検証は自分の管理する環境で行ってください。 ※私であれば自身のロ...

前回はOSコマンドインジェクションの概要と構築する環境の解説を行いました。 今回は実際に脆弱性のあるコンテンツを構築していきます。 SSI、SQLインジェクションと異なり、用意はすぐできますので、皆様も社内デモとかに使用していた...

SSIインジェクション、SQLインジェクションとインジェクション系のデモ環境を作成してきましたが、次はOSコマンドインジェクションのデモ環境を作成していきます。 先に作成した二つよりはサクッとできると思っています。 8月に実際の...

そろそろこのサイトにも新しい機能を実装したいなと思いお問い合わせフォームを実装しようと思います。 なぜ今までなかったの？と言われると言葉に詰まってしまいますが、そこら辺は流してもらえると助かります。

今回は使えると少し便利になるコマンド「whois」をwindowsで動作させるようにします。 まずは質問として皆様、お使いのPCのOS（オペレーティングシステム）は何を使用していますか？ 私はwindowsを主に使用しており、検...

前に新しく資格を取得するとの話をしましたが、本日その資格であるCISMの参考書が届きました。 これで資格の勉強が進みますね。

前回WAFの動作が確認できましたが、デフォルトの設定でPOSTデータがロギングされてしまっていたかと思います。 POSTデータの取り扱いには注意が必要で、必要以上に保存しておくと問題になる場合がある事を念頭に置きましょう。

一回コーヒーブレイクを挟みましたが、引き続きWAFの検証を行っていきます。 前回はWAFをaptでインストールするところまでやりましたので、実際に動作を確認したいと思います。

今回はフリーのWAFであるMod_Securityの環境を作成していきたいと思います。 皆様はWAFというものを聞いたことがありますか？ この記事を見にきた人はご存知の方が多いと思いますが、説明します。