どーもー、某ITベンチャー企業に勤めるエンジニアです。 先日、当社では年に一度のセキュリティ診断がおこなわれ、私が担当するサービスも指摘を受けました。 その一つが、「CSRF(クロスサイト・リクエスト・フォージェリ)」というハッキングの脆弱性でした。 「CSRF?」 これまで、この「CSRF」につい … 続きを読む
![CSRF(クロスサイト・リクエスト・フォージェリ)の仕組み](https://viral-community.com/wp-content/uploads/2018/10/CSRF-image-1.png)
どーもー、某ITベンチャー企業に勤めるエンジニアです。 先日、当社では年に一度のセキュリティ診断がおこなわれ、私が担当するサービスも指摘を受けました。 その一つが、「CSRF(クロスサイト・リクエスト・フォージェリ)」というハッキングの脆弱性でした。 「CSRF?」 これまで、この「CSRF」につい … 続きを読む
どーもー、某IT企業に勤めるエンジニアです。 今回は、GoogleChromeのデベロッパーツールを使って、閲覧しているサイトのCookie情報を確認する方法について解説していきます。 (cookieを編集・削除・追加する方法についても。) というのも私自身、業務で担当しているWebサイトの開発中、 … 続きを読む
どーもー、某ベンチャー系のIT企業に勤めてる私ですが、今回業務上curlコマンドを利用する事があったので、せっかくなので当記事にまとめておく事にしました。 curlコマンドとは・・・任意のサーバーやWebサイトへhttpリクエストを送って、そのレスポンスをチェックすることができるコマンドになります。 … 続きを読む
どーもー、某IT企業で働いているエンジニアです。 先日、当社では年に1回おこなわれるセキュリティ診断がありました。 私が担当しているサービスも上記の対象だったわけですが、その中で、当社のセキュリティ診断が「OWASP-Top10」を元にしている事が分かりました。 「OWASP」という名前自体、僕自身 … 続きを読む
.htaccessとは・・・Webサーバーに「Apache」を用いている場合に、利用できるファイルになります。 サイトの管理者が、「Apache」の各種設定や制御をおこなえるようにしたファイルで、ディレクトリ単位で設置・設定がおこなえます。 .htaccessが、特定のディレクトリに設置されると、「 … 続きを読む
スパム(spam)とは・・・利用シーンによって様々な意味を持ちますが、一般的にはメールのスパムとして用いられる事が多いでしょう。 メールのスパムとは・・・不正に入手したメールアドレスに対して無差別かつ大量に、本人(受信者)に許諾を得ずに一方的に営利目的の広告メールを配信することを指します。 で、、 … 続きを読む
WordPressは、オープンソースで最も有名なコンテンツマネジメントシステムです。 ですが、オープンソースなので、脆弱性が発見されやすく、ハッカーの標的になりやすい。といった特徴もあります。 その為、WordPressを利用しているサイト運営者は、セキュリティ上の問題を決して軽視せず、自ら対策を講 … 続きを読む
ハッキングとは・・・コンピューターに関しての深い知識と高度な技術をもった専門家が、他人のコンピューターに不正に侵入して、データの改ざんや不正ファイルの設置、また他サイトへの攻撃(大量アクセス)や不正アクセスをするといった行為のことです。 最近の事例としては、レンタルサーバーで有名な「ロリポップ」内の … 続きを読む
リストアとは・・・直訳すると「修復」や「復旧」・「復元」といった意味になり、ITの業界ではシステム(ハードディスクやデータベースなど)が、何かしらの原因で破損した際に、元通りに復旧することを指します。 よく「バックアップ」と間違われますが、「バックアップ」とは意味が全然違います。 「バックアップ」は … 続きを読む
自分(自社)のWebサイトを持っていて、外部に公開している場合、そのサイトの管理画面へのアクセスは「自分」のみ許可し、外部からのアクセスは遮断しなければなりません。 一般的に遮断する方法としては、ログイン画面を用意し、「ユーザー名」と「パスワード」での認証方式が一般的ですが、昨今「ブルートフォースア … 続きを読む
webサイトを公開しているサーバーでは、ほとんどが「ファイアウォール」の中で運用されています。 ですが、ここでいう「ファイアーウォール」とは、現在最も普及している ”IP・ポートレベルでのフィルタリング” を行ってくれる「ファイアウォール」になります。 もちろん、この「ファイアーウォール」も必要で、 … 続きを読む
外部に公開しているWebサイトであれば、どんなサイトでも標的になりうる脅威が「Dos攻撃」と「Ddos攻撃」になります。 なので、Webサイトの管理者であれば、こちらの攻撃に対しての対策を取っておかなければなりません。 今回の記事では、「Dos攻撃」と「Ddos攻撃」それぞれの仕組みや違いと、対策に … 続きを読む
Webサイトの管理者であれば、自分(自社)のサイトの脆弱性を取り除いておく事が必要になります。 特に、代表的なハッキング手法である「クロスサイトスクリプティング(XSS)」や「SQLインジェクション」対策をしておくことは必須でしょう。 また、今回紹介する「HTTPヘッダインジェクション」も、有名なハ … 続きを読む
SSLとは・・・情報を暗号化して送受信してくれる仕組みです。 例えば、Webサイト上で「個人情報」や「クレジットカード番号」などを登録するさいに、暗号化して送受信してくれます。 これによって、第三者から盗み見らていても、暗号化されているので、内容を特定される事はありません。 また、普段利用しているW … 続きを読む
現在、二者間の通信を暗号化する際、最も一般的なのが「共通鍵暗号方式」と「公開鍵暗号方式」になります。 両者の違いとしては、暗号化(と復号化)する際に、共通鍵を使うか・公開鍵を使うか、、です(詳細の解説は後述しています) ※ここでいう「鍵」とは、”暗号化(と復号化)する際に、必要となるもの” と理解し … 続きを読む