-
解決済
- 回答
- 4
-
解決済
- 回答
- 9
パスワードの文字種を制限する意味について
何かと問題が多いと言われ続けているパスワードですが、それでもやはりサイトに登録する上で設定を必要とすることがよくあります。 で、セキュリティ上「大文字・小文字・数字を混ぜる」というような指示をされることもあるのですが、ときおり「パスワードには英数字のみを使って、記号は含めないでください」というような指示の付いているサイトがあります。 数字しか打て
- 6評価
- 3921PV
-
解決済
- 回答
- 6
CGIプログラムのセキュリティリスク確認
前提・実現したいこと 現在、とある会社さんの依頼で自社開発したCGIプログラムのソースレビューを実施しています。 該当プログラムは「入力画面(静的html)⇒完了画面(CGI)」の形式になっているシンプルなお申込みフォームとなっています。(詳細は下部の補足情報参照) 当方はそのCGIに入力画面からのパラメータを一切チェックしていない事に、セキュリティリス
- 0評価
- 2564PV
-
受付中
- 回答
- 3
flag以下の環境でTorによる匿名性は保てるでしょうか?
以下の環境で匿名性は保てるのでしょうか? PC①→LANハブ→プロバイダ→オンラインゲーム PC②→LANハブ→プロバイダ→Tor→サイト運営(海外サーバー) ※PC①と②は同時に起動している 当方、趣味でジャーナリズムの真似事をしており、たまに自分のサイトに国の批判記事も書きます。 アクセス解析をすると簡単にIPやプロバイダを特定できる時代です
- 1評価
- 512PV
-
解決済
- 回答
- 3
パッケージ更新後のアプリケーションの再起動
質問 yum updateでmysqlやglibcなどをアップデートした場合、その更新を適用するためにはアプリケーションの再起動が必要だと思います。実際のサーバー運用の現場ではアプリケーションのアップデート完了の度にアプリケーションを再起動しているのでしょうか?それとも脆弱性のアップデートの場合など重要な更新の場合にだけアプリケーションの再起動をしているの
- 0評価
- 111PV
-
解決済
- 回答
- 6
企業におけるセキュリティ対策(データベース)
こんにちは。 情報系の大学生です。 大学の教育の一環でアプリを開発しているのですが、 セキュリティに関して疑問が生じたので質問させていただきます。 例えば、ブログをWebアプリで開発しており、 データベース(MySQL)にアクセスしようとした場合、以下のように書いたとします。 import MySQLdb hostname = 'localhost
- 2評価
- 934PV
-
受付中
- 回答
- 1
Apache Struts 2 の脆弱性「CVE-2017-9791」について
■質問 CVE-2017-9791は、Apache Struts 2 の「Object Graph Navigation Language(OGNL)式」を利用して RCE が可能になる脆弱性そうですが、 そのexploitコードには必ず、@ognl.OgnlContext@DEFAULT_MEMBER_ACCESSの文字列は含まれてるのでしょうか。 ogn
- 0評価
- 110PV
-
解決済
- 回答
- 1
OmniAuthによるFacebookログインで、セッション変数を使っても脆弱性はないのでしょうか?
OmniAuthを使ったFacebookログインを実装していますが、 Facebook認証後にユーザー名・メールアドレスなど追加情報を入力させるフォームをはさんで、ユーザー登録を行いたいと思っています。 https://github.com/plataformatec/devise/wiki/OmniAuth%3A-Overview 上記OmniAuth
- 2評価
- 90PV
-
受付中
- 回答
- 3
監査対応に伴う操作ログについて
監査対応で操作ログの収集について質問させてください。 CUIの場合、コマンド情報を収集できれば良いと考えております。 ・Linuxのviコマンドでファイル編集時の操作(編集内容)はどのように収集すればよいのでしょうか。 ・それとも一般的に、監査対応における操作ログはviコマンドを発行したことまでが分かればよく、ファイル編集時の操作(編集内容)までは収集し
- 0評価
- 95PV
-
受付中
- 回答
- 6
データベースの暗号化方法の選択
前提・実現したいこと 入力されたデータを暗号化してデータベースに登録、登録したデータを部分一致検索で表示するようなシステムを作ろうとしているのですが、こういった場合どのような暗号化の方法を取るのがベタでしょうか。 開発言語はjavaで、データベースはSql Serverを想定しています。 システムとしては、画面で入力された氏名と住所を暗号化してデータベー
- 1評価
- 511PV
-
受付中
- 回答
- 0
[Rails] rails routesで見れるURLに攻撃の心配
Railsでアプリを作ってます。一般的な、ユーザ認証して記事を投稿するタイプのものです。ユーザ認証はDeviseで作っています。 Twitterで認証するためomniauth-twitterを使用し、Twitterで認証完了した後のコールバックとして以下のコントローラを作っています。 Rails.application.routes.draw do
- 0評価
- 72PV
teratailが3週間前に アップデート -
解決済
- 回答
- 1
C# ローカルソフトで正規表現による文字列置換をユーザーに与える場合のセキュリティーについて
Visual BasicでWPFのローカルのみのファイル整理用ソフトを作ったのですが、他者に渡したり公開する場合にセキュリティ対策をどうすれば良いのか分からないので質問させてもらいます。 ローカルのファイル名を置換する際に正規表現でもユーザー側から制御できるようになっています。 このようになっています。 -xaml <TextBox x:Name=
- 0評価
- 121PV
-
解決済
- 回答
- 2
セッション管理について
PHPでのセッション管理について質問です。 会員登録を済ませたユーザーの情報を下記のように仮定した場合 ・メールアドレス ・ユーザーID 上記の情報をそれぞれセッションに保存することはセキュアではないでしょうか。 もしそうではない場合、ユーザーIDのみをセッションに保存し、その他の情報が必要な場合は逐一DBに接続して取得して来なくてはならないので
- 0評価
- 87PV
-
解決済
- 回答
- 2
httpによるwordpress管理画面へのログイン
質問 レンタルサーバやVPSでwordpressの管理画面にブラウザでログインする時に、ユーザー名とパスワードを入力するとおもいます。その際に、例えばロリポップの場合、ブラウザはhttpで通信するようでした(初期インストールした直後です)。この場合パスワードが暗号化されず平文で流れてしまうんでしょうか?危険でしょうか?
- 0評価
- 98PV
-
解決済
- 回答
- 3
認証用トークンはクッキーに保存すべき?ローカルストレージに保存すべき?
表題の通りなのですが、認証用トークン(具体的にはJWTトークン)はクッキーに保存すべきでしょうか? ローカルストレージに保存すべきでしょうか? クッキーに保存してリクエストヘッダーにクッキーに保存しておいたトークンを入れてリクエストを送信するといったやり方の方がセキュアでしょうか? 補足 前提として、ユーザーがログインに成功するとサーバー側から生成
- 0評価
- 141PV
-
解決済
- 回答
- 3
登録ユーザーがパスワードを忘れた場合の適切な処理は?
表題の通りなのですが、登録ユーザーがパスワードを忘れた場合の適切な処理というのは、どのようなものなのでしょうか? 例えば、ログインフォームのあるページで、「パスワードを忘れた方はこちら」みたいなリンクがあり、ユーザーはそのリンクをクリックして、登録時のメールアドレスを入力して送信すると、「メールを送信しました〜!」みたいなメッセージが表示されて、その直後
- 1評価
- 612PV
-
解決済
- 回答
- 2
【WAF】正常な通信を誤検知した時の対応フローについて
■依頼 WAFの導入に当たり、正常な通信を誤検知した時の対応フローを検討し、以下の通りまとめました。 対応フローは、まったくの初心者を除き、ある程度ITスキルの基礎を有した方でも対応できるような内容を目指しております。 有識者の皆様に、以下の対応フローの問題点や、ほかによい方法など様々なアドバイスを賜りたいです。 ■誤検知時の対応フロー案 1) 誤検知を
- 0評価
- 172PV
-
受付中
- 回答
- 1
PHPMyadmingがPHPアップデートとともにエラー
前提・実現したいこと ここに質問したいことを詳細に書いてください (例)PHP(CakePHP)で●●なシステムを作っています。 ■■な機能を実装中に以下のエラーメッセージが発生しました。 PHPmyadminのPHPだけアップデートできるらしいのでしたら、PHPMyadmingがエラーを出しています。どうすればいいでしょうか? 発生している問題・エ
- 0評価
- 106PV
-
解決済
- 回答
- 1
【PHP】CSRF対策を施す(トークンを埋め込む)場所について
練習用に書籍を管理するアプリケーションをPHP、MariaDBで作成しています。 CSRF対策を施す(トークンを埋め込む)場所についてアドバイスお願いします。 構成は下記。 ①login.php id、パスワード入力画面 セッションスタート、SESSIONにtokenを設定、hiddenでtokenをPOST送信。 ↓ ②login_check.ph
- 0評価
- 435PV
-
解決済
- 回答
- 2
CGI方式のセキュリティリスク
CVE-2016-5385の様に、module方式に比べてCGI方式の方が脆弱性のリスクが高いという印象を持っています。 その前提が正しければ、なぜCGIの方がセキュリティリスクが高いかご教示頂けませんでしょうか。 https://www.jpcert.or.jp/at/2016/at160031.html
- 0評価
- 174PV
