どーもー、某ITベンチャー企業に勤めるエンジニアです。 先日、当社では年に一度のセキュリティ診断がおこなわれ、私が担当するサービスも指摘を受けました。 その一つが、「CSRF(クロスサイト・リクエスト・フォージェリ)」というハッキングの脆弱性でした。 「CSRF?」 これまで、この「CSRF」につい … 続きを読む
カテゴリー別アーカイブ: インフラ-セキュリティ
Chromeで閲覧サイトのCookie情報を確認する方法と、編集・削除・追加する方法も
どーもー、某IT企業に勤めるエンジニアです。 今回は、GoogleChromeのデベロッパーツールを使って、閲覧しているサイトのCookie情報を確認する方法について解説していきます。 (cookieを編集・削除・追加する方法についても。) というのも私自身、業務で担当しているWebサイトの開発中、 … 続きを読む
curlコマンドの使い方 ~GET、POST、REST(json)の確認と、windowsでの利用手順
どーもー、某ベンチャー系のIT企業に勤めてる私ですが、今回業務上curlコマンドを利用する事があったので、せっかくなので当記事にまとめておく事にしました。 curlコマンドとは・・・任意のサーバーやWebサイトへhttpリクエストを送って、そのレスポンスをチェックすることができるコマンドになります。 … 続きを読む
セキュリティエンジニアに転職したいなら絶対見ておくべき「OWASP-TOP10」
どーもー、某IT企業で働いているエンジニアです。 先日、当社では年に1回おこなわれるセキュリティ診断がありました。 私が担当しているサービスも上記の対象だったわけですが、その中で、当社のセキュリティ診断が「OWASP-Top10」を元にしている事が分かりました。 「OWASP」という名前自体、僕自身 … 続きを読む
.htaccessとは?.htaccessで、できる事と設定手順についてまとめてみた
.htaccessとは・・・Webサーバーに「Apache」を用いている場合に、利用できるファイルになります。 サイトの管理者が、「Apache」の各種設定や制御をおこなえるようにしたファイルで、ディレクトリ単位で設置・設定がおこなえます。 .htaccessが、特定のディレクトリに設置されると、「 … 続きを読む
スパム(spam)とは?Googleのアルゴリズムによるスパム判定を受けたかのチェックと改善手順のまとめ
スパム(spam)とは・・・利用シーンによって様々な意味を持ちますが、一般的にはメールのスパムとして用いられる事が多いでしょう。 メールのスパムとは・・・不正に入手したメールアドレスに対して無差別かつ大量に、本人(受信者)に許諾を得ずに一方的に営利目的の広告メールを配信することを指します。 で、、 … 続きを読む
WordPressのセキュリティ対策でしておくべき11の項目
WordPressは、オープンソースで最も有名なコンテンツマネジメントシステムです。 ですが、オープンソースなので、脆弱性が発見されやすく、ハッカーの標的になりやすい。といった特徴もあります。 その為、WordPressを利用しているサイト運営者は、セキュリティ上の問題を決して軽視せず、自ら対策を講 … 続きを読む
ハッキング対策まとめ!自分のサイトを守るためにやっておかなければならない10のこと
ハッキングとは・・・コンピューターに関しての深い知識と高度な技術をもった専門家が、他人のコンピューターに不正に侵入して、データの改ざんや不正ファイルの設置、また他サイトへの攻撃(大量アクセス)や不正アクセスをするといった行為のことです。 最近の事例としては、レンタルサーバーで有名な「ロリポップ」内の … 続きを読む
リストアとは?ブログ(WordPress)のバックアップデータを使って、復旧してみた
リストアとは・・・直訳すると「修復」や「復旧」・「復元」といった意味になり、ITの業界ではシステム(ハードディスクやデータベースなど)が、何かしらの原因で破損した際に、元通りに復旧することを指します。 よく「バックアップ」と間違われますが、「バックアップ」とは意味が全然違います。 「バックアップ」は … 続きを読む
自分のPCのみアクセス許可したいが、プロバイダによってグローバルIPが一定間隔で変化してしまう場合の対処法
自分(自社)のWebサイトを持っていて、外部に公開している場合、そのサイトの管理画面へのアクセスは「自分」のみ許可し、外部からのアクセスは遮断しなければなりません。 一般的に遮断する方法としては、ログイン画面を用意し、「ユーザー名」と「パスワード」での認証方式が一般的ですが、昨今「ブルートフォースア … 続きを読む
WAF(Webアプリケーションファイアウォール)とは?ロリポップで【WAF】がちゃんと機能しているか確認してみた
webサイトを公開しているサーバーでは、ほとんどが「ファイアウォール」の中で運用されています。 ですが、ここでいう「ファイアーウォール」とは、現在最も普及している ”IP・ポートレベルでのフィルタリング” を行ってくれる「ファイアウォール」になります。 もちろん、この「ファイアーウォール」も必要で、 … 続きを読む
Dos攻撃とDDos攻撃の違いと対策についてまとめてみた
外部に公開しているWebサイトであれば、どんなサイトでも標的になりうる脅威が「Dos攻撃」と「Ddos攻撃」になります。 なので、Webサイトの管理者であれば、こちらの攻撃に対しての対策を取っておかなければなりません。 今回の記事では、「Dos攻撃」と「Ddos攻撃」それぞれの仕組みや違いと、対策に … 続きを読む
【HTTPヘッダインジェクション】の仕組みと対策のまとめ記事
Webサイトの管理者であれば、自分(自社)のサイトの脆弱性を取り除いておく事が必要になります。 特に、代表的なハッキング手法である「クロスサイトスクリプティング(XSS)」や「SQLインジェクション」対策をしておくことは必須でしょう。 また、今回紹介する「HTTPヘッダインジェクション」も、有名なハ … 続きを読む
SSLとは?仕組みから、共有・独自SSLの違い、証明書についてが分かるまとめ
SSLとは・・・情報を暗号化して送受信してくれる仕組みです。 例えば、Webサイト上で「個人情報」や「クレジットカード番号」などを登録するさいに、暗号化して送受信してくれます。 これによって、第三者から盗み見らていても、暗号化されているので、内容を特定される事はありません。 また、普段利用しているW … 続きを読む
3分で理解できる!共通鍵暗号方式と公開鍵暗号方式の仕組み
現在、二者間の通信を暗号化する際、最も一般的なのが「共通鍵暗号方式」と「公開鍵暗号方式」になります。 両者の違いとしては、暗号化(と復号化)する際に、共通鍵を使うか・公開鍵を使うか、、です(詳細の解説は後述しています) ※ここでいう「鍵」とは、”暗号化(と復号化)する際に、必要となるもの” と理解し … 続きを読む