-
受付中
- 回答
- 1
強いセキュリティの実現
以前、品川で開催されたセキュリティセミナーに参加したことがあるのですが、「サイバー空間におけるセキュリティが遅れている」と言っていました。 よくあるケースとそれに対処する方法を考察したいと思います。 case 1. 24時間365日稼働させるようなサーバーに対して既存の攻撃のためのセキュリティパッチの適用やハードウェアリソースの更新が難しい お金があ
- -2評価
- 92PV
-
解決済
- 回答
- 1
CSRF対策後のテスト Bad Authenticity Tokenの出し方
CSRF対策後のテストしています。 Bad Authenticity Tokenって皆さんどのようにだしてかくにんされていますか?
- 0評価
- 39PV
-
受付中
- 回答
- 5
データベースの暗号化方法の選択
前提・実現したいこと 入力されたデータを暗号化してデータベースに登録、登録したデータを部分一致検索で表示するようなシステムを作ろうとしているのですが、こういった場合どのような暗号化の方法を取るのがベタでしょうか。 開発言語はjavaで、データベースはSql Serverを想定しています。 システムとしては、画面で入力された氏名と住所を暗号化してデータベー
- 1評価
- 382PV
-
解決済
- 回答
- 1
ハッキング体験アプリ作成 CSRF
ハッキング体験アプリ作成しており(公開はしません)、CSRF部分を今しています。 手順はindex.phpでsessionID発行させてユーザーをログイン状態にする ↓ change_pwd.phpでパスワード変更処理 ↓ confirm_.phpでユーザーに変更したパスワードの確認 この後に「今あなた(攻撃者)がオーナーのサイトattacker.php
- -2評価
- 101PV
-
解決済
- 回答
- 1
公開ディレクトリ内へのURL直打ちアクセスを弾きたいが他のファイルからは読み込みたい
"https://www.example.com/members"は、ログインページを除くすべてのページで認証が行われ、 ログイン状態が保持されていなければ見ることは出来ません。 コンテンツに使用されているCSSやJSは https://www.example.com/members/css https://www.example.com/members
- 0評価
- 46PV
-
解決済
- 回答
- 1
ハッキング体験アプリ作成 ~XSS~
ハッキング体験アプリを作成しておりただいまXSSについてのコードを書いております。 下の3つのファイルの他に攻撃者がオーナーのサイトyour_site.phpを用意しており、入力画面に何か入力してcont.phpを開いたら自動的にyour_site.phpに移るようにせよ。とのアプリです ご存じの方には簡単だと思いますが、 <script> wind
- -1評価
- 63PV
-
受付中
- 回答
- 2
ECサイトのセキュリティ
所属企業で、ECサイトを新規で立ち上げるのですが、 セキュリティをどの程度高めればいいか相場がわかりません。 現在は、下記のようにしています。 ・SSL ・ip制限で自社全体のグローバルipを指定し、自社端末だけからしかアクセスできない ご教授願えますでしょうか。
- 0評価
- 95PV
-
解決済
- 回答
- 2
webサービスのDBにユーザーの口座情報を保存することは可能か
クラウドソーシングサービスを運営しているものです。 現在ユーザーの報酬を振り込む際、ユーザーさんから請求書を送ってもらっているのですが、 そこをある程度自動化したく手始めに口座情報をデータベースに保存し、請求書のやりとりの手間をなくそうと思っています。 こういったことが法的に可能なのか、可能であればやるにあたってどういうところに気をつけるべきかなど教え
- -1評価
- 1038PV
-
解決済
- 回答
- 2
一時的IPアドレス制限を変える簡単なスクリプトを探しています。
iptable (ufw) でアクセス制限かけているサイト(開いているのは、port 80,443 )のサイトで、ssh のアクセスを一時的に簡単に外すスクリプトのサンプルご存知の方がいらっしゃったらお教えください。 あるURLにアクセスすると、しばらくそのIPアドレスに対して、SSHのアクセスを許可するようなものです。php でなんとか作ろうと思えばつく
- 0評価
- 146PV
-
受付中
- 回答
- 2
個人用DBアプリケーションの作成手段
暫くIT業界に触れていなかったため全く初歩的な質問になってしまいますがご容赦ください。 個人事業主となり、仲介業者はありますが数多くの仕事を請け負うようになりました。 行く先数々の店舗データが乗った「表」を渡されたのですが、あまりにも行数が多い上に、文字も細かく一段違いの読み間違えなどが多発し、解読に時間がかかるので出来ればデータベース化しちゃいたい
- 0評価
- 135PV
-
解決済
- 回答
- 1
セキュリティー 「不要なファイルの検出」「プロトコルの不適切な使用」について
ただ今脆弱性診断ツールVEXについて調べていますが「不要なファイルの検出」「プロトコルの不適切な使用」この二つの項目の意味がよくわからずネットで調べてみましたが、見当たりません。分かる方にこれがどのような脆弱性でどのような対策が必要なのかお答えいただきたいです。 また余裕があれば「セカンドオーダーアタック」は具体的にどのようなコードを書けば実行できるのか
- 0評価
- 117PV
-
解決済
- 回答
- 2
セキュリティーどれだけチェックしとけばよいのか??
今セキュリティーについて勉強しています。 ハッキングの基本的な方法と対策は分かってきました、しかし実際プロの方がどのような方法でどこまでチェックしているのか知りたくて質問させていただきました。 SQLインジェクション OSコマンドインジェクション nullバイト攻撃 ディレクトリトラバーサル セッションハイジャック、セッションの固定化 XSS CSRF
- 0評価
- 1607PV
-
解決済
- 回答
- 2
メールの第三者中継について
今セキュリティー関連の勉強をしており、「メールの第三者中継」について調べています。 誰かが他のサーバを利用してそこからスパムメールなどを大量に送り付け、そのメールアドレスが迷惑メールに設定されてもサーバを変えればまた同じことができる。 などの内容は分かりましたが、ネット上に「どういうコードが脆弱性のあるコードで、悪いやつがどうコードを書くとできるのか」と
- -1評価
- 113PV
-
解決済
- 回答
- 2
セキュリティーを学ぶ際に必要なjavascript,php,htmlのおすすめ本
**セキュリティー診断を学ぶ際にオススメのjavascript,php,htmlのおすすめ本を教えてください。 ** <状況> 徳丸本をやりつつ、上記の知識、技術がないと実感しました。 理想としては、開発とセキュリティー同時に学べるようなものがあれば、教えていただきたいです。
- 0評価
- 114PV
-
解決済
- 回答
- 1
二 段 階 認 証とは
ウェブなどの保全(セキュリティ)についての質問ですが、例えばソフトウェア会社のadobe公式サイトには、今までのように認証番号とメルアドを入力すると、携帯に使い捨ての認証番号が送られてきます。 それを利用することでadobeの会員向け画面に接続できるわけですが、これは公式サイトでは、二段階認証と呼んでいます。二段階認証という単語自体は、聞いたことがあります
- 0評価
- 84PV
-
解決済
- 回答
- 6
ログイン時のパスワード送信に関して
つい先日、個人情報の漏洩事件において、一部情報がログから流出したのではないかという記事を読みました。 そこで、パスワード送信に関して以下のようにふと思いました。 ・ログイン時のパスワード送信もまかり間違ってログとして残しているケースもあるのではないか? ・そういったケースも想定して、サーバ側に送出されるパスワードは、パッシュ化されているべきなのでは
- 2評価
- 685PV
-
解決済
- 回答
- 1
CVE-2016-0728のエクスプロイトについて
https://gist.github.com/PerceptionPointTeam/18b1e86d1c0f8531ff8f こちらのソースをまるごと使っているのですがroot権限が奪取できません。 [vagrant@localhost workspace]$ ./leak leaked-keyring uid=1000, euid=1000 I
- 0評価
- 149PV
-
解決済
- 回答
- 6
登録システムを作成する際の注意するべきこと
前提・実現したいこと 現在PHPにて会員登録システムを作成しています。 その際にセキュリティについて注意しておくことがわかりませんので質問させていただきます。 XSS対策,SQLInjection対策はしてあります。 他に対策するべき点はありますでしょうか? よろしくお願いします。
- 0評価
- 209PV
-
受付中
- 回答
- 0
証明書チェーンの検証に失敗します
前提・実現したいこと こちらのサイトを参考にさせて頂き、Googleのサーバーから取得したJWT(JSON Web Token)の署名検証をしています。 署名検証にrubyを使っていますが、ruby初心者なので表題の件について詳細なエラーの調査が出来ません。検証の失敗する原因と調査方法が知りたいです。 SSLについても未熟ですがよろしくお願いします。
- 0評価
- 85PV
teratailが1ヶ月前に アップデート -
解決済
- 回答
- 4
セキュリティ対策不備の場合に受ける制裁について
質問 例えばの話です。 ↓例としてマストドンと書いていますが、インスタンスを立ち上げてもいませんしまだ何もしていません。その他にも何も実際にサーバを立ち上げてもいません。 個人の家のサーバでサイト運営(たとえばマストドン) ユーザーは不特定多数 ソフトウェアはオープンソース(CentOSなど) 特にセキュリティ攻撃を受けた
- 0評価
- 406PV
