カテゴリー別アーカイブ: インフラ-セキュリティ

CSRF(クロスサイト・リクエスト・フォージェリ)の仕組み

CSRF(クロスサイト・リクエスト・フォージェリ)とは?その仕組みと対策方法について

どーもー、某ITベンチャー企業に勤めるエンジニアです。 先日、当社では年に一度のセキュリティ診断がおこなわれ、私が担当するサービスも指摘を受けました。 その一つが、「CSRF(クロスサイト・リクエスト・フォージェリ)」というハッキングの脆弱性でした。 「CSRF?」 これまで、この「CSRF」につい … 続きを読む

ChromeデベロッパーツールでCookieを確認する方法

Chromeで閲覧サイトのCookie情報を確認する方法と、編集・削除・追加する方法も

どーもー、某IT企業に勤めるエンジニアです。 今回は、GoogleChromeのデベロッパーツールを使って、閲覧しているサイトのCookie情報を確認する方法について解説していきます。 (cookieを編集・削除・追加する方法についても。) というのも私自身、業務で担当しているWebサイトの開発中、 … 続きを読む

curlコマンドの使い方

curlコマンドの使い方 ~GET、POST、REST(json)の確認と、windowsでの利用手順

どーもー、某ベンチャー系のIT企業に勤めてる私ですが、今回業務上curlコマンドを利用する事があったので、せっかくなので当記事にまとめておく事にしました。 curlコマンドとは・・・任意のサーバーやWebサイトへhttpリクエストを送って、そのレスポンスをチェックすることができるコマンドになります。 … 続きを読む

セキュリティエンジニア必見:OWASP-TOP10

セキュリティエンジニアに転職したいなら絶対見ておくべき「OWASP-TOP10」

どーもー、某IT企業で働いているエンジニアです。 先日、当社では年に1回おこなわれるセキュリティ診断がありました。 私が担当しているサービスも上記の対象だったわけですが、その中で、当社のセキュリティ診断が「OWASP-Top10」を元にしている事が分かりました。 「OWASP」という名前自体、僕自身 … 続きを読む

スパム(spam)

スパム(spam)とは?Googleのアルゴリズムによるスパム判定を受けたかのチェックと改善手順のまとめ

スパム(spam)とは・・・利用シーンによって様々な意味を持ちますが、一般的にはメールのスパムとして用いられる事が多いでしょう。 メールのスパムとは・・・不正に入手したメールアドレスに対して無差別かつ大量に、本人(受信者)に許諾を得ずに一方的に営利目的の広告メールを配信することを指します。 で、、 … 続きを読む

wordpress セキュリティ対策 まとめ

WordPressのセキュリティ対策でしておくべき11の項目

WordPressは、オープンソースで最も有名なコンテンツマネジメントシステムです。 ですが、オープンソースなので、脆弱性が発見されやすく、ハッカーの標的になりやすい。といった特徴もあります。 その為、WordPressを利用しているサイト運営者は、セキュリティ上の問題を決して軽視せず、自ら対策を講 … 続きを読む

ハッキング

ハッキング対策まとめ!自分のサイトを守るためにやっておかなければならない10のこと

ハッキングとは・・・コンピューターに関しての深い知識と高度な技術をもった専門家が、他人のコンピューターに不正に侵入して、データの改ざんや不正ファイルの設置、また他サイトへの攻撃(大量アクセス)や不正アクセスをするといった行為のことです。 最近の事例としては、レンタルサーバーで有名な「ロリポップ」内の … 続きを読む

リストア(データ復旧)

リストアとは?ブログ(WordPress)のバックアップデータを使って、復旧してみた

リストアとは・・・直訳すると「修復」や「復旧」・「復元」といった意味になり、ITの業界ではシステム(ハードディスクやデータベースなど)が、何かしらの原因で破損した際に、元通りに復旧することを指します。 よく「バックアップ」と間違われますが、「バックアップ」とは意味が全然違います。 「バックアップ」は … 続きを読む

セキュリティ対策 自分のPCのみ、アクセス許可

自分のPCのみアクセス許可したいが、プロバイダによってグローバルIPが一定間隔で変化してしまう場合の対処法

自分(自社)のWebサイトを持っていて、外部に公開している場合、そのサイトの管理画面へのアクセスは「自分」のみ許可し、外部からのアクセスは遮断しなければなりません。 一般的に遮断する方法としては、ログイン画面を用意し、「ユーザー名」と「パスワード」での認証方式が一般的ですが、昨今「ブルートフォースア … 続きを読む

waf(Webアプリケーションファイアウォール)

WAF(Webアプリケーションファイアウォール)とは?ロリポップで【WAF】がちゃんと機能しているか確認してみた

webサイトを公開しているサーバーでは、ほとんどが「ファイアウォール」の中で運用されています。 ですが、ここでいう「ファイアーウォール」とは、現在最も普及している ”IP・ポートレベルでのフィルタリング” を行ってくれる「ファイアウォール」になります。 もちろん、この「ファイアーウォール」も必要で、 … 続きを読む

Dos DDos攻撃 仕組み

Dos攻撃とDDos攻撃の違いと対策についてまとめてみた

外部に公開しているWebサイトであれば、どんなサイトでも標的になりうる脅威が「Dos攻撃」と「Ddos攻撃」になります。 なので、Webサイトの管理者であれば、こちらの攻撃に対しての対策を取っておかなければなりません。 今回の記事では、「Dos攻撃」と「Ddos攻撃」それぞれの仕組みや違いと、対策に … 続きを読む

HTTPヘッダインジェクション

【HTTPヘッダインジェクション】の仕組みと対策のまとめ記事

Webサイトの管理者であれば、自分(自社)のサイトの脆弱性を取り除いておく事が必要になります。 特に、代表的なハッキング手法である「クロスサイトスクリプティング(XSS)」や「SQLインジェクション」対策をしておくことは必須でしょう。 また、今回紹介する「HTTPヘッダインジェクション」も、有名なハ … 続きを読む

SSL

SSLとは?仕組みから、共有・独自SSLの違い、証明書についてが分かるまとめ

SSLとは・・・情報を暗号化して送受信してくれる仕組みです。 例えば、Webサイト上で「個人情報」や「クレジットカード番号」などを登録するさいに、暗号化して送受信してくれます。 これによって、第三者から盗み見らていても、暗号化されているので、内容を特定される事はありません。 また、普段利用しているW … 続きを読む

共通鍵・公開鍵 暗号方式

3分で理解できる!共通鍵暗号方式と公開鍵暗号方式の仕組み

現在、二者間の通信を暗号化する際、最も一般的なのが「共通鍵暗号方式」と「公開鍵暗号方式」になります。 両者の違いとしては、暗号化(と復号化)する際に、共通鍵を使うか・公開鍵を使うか、、です(詳細の解説は後述しています) ※ここでいう「鍵」とは、”暗号化(と復号化)する際に、必要となるもの” と理解し … 続きを読む