- 1. Chromeでの「応答時間が長すぎます」エラーにハマった時は…..
- 2. バッファーオーバーラン (バッファーオーバーフロー) の脆弱性をついた攻撃に入門する
- 3. 「3分で理解するWEBプログラミングセキュリティ 01」 SQLインジェクションとは?
- 4. AWS WAF のアクセスログをとりあえず S3 で確認したい
- 5. 【自分用】脆弱性への対処法②
- 6. 【自分用】脆弱性への対処法①
- 7. Webの世界-セキュリティ編-
- 8. Web上でパスワード不要のE2E暗号化してセキュアにファイル転送をしたい
- 9. 秘密計算ことはじめ2019
- 10. 【PHP】SESSIONも危ない!セキュリティを見直そう。
- 11. 「Micro Hardening」に参加してきました
- 12. CTF解法メモ【Hacker101】
- 13. コンピュータウイルスに感染したかもしれないと思ったら
- 14. Google Chrome 78以降でMonacaにアクセスした際にサードパーティーCookieでエラーが出る場合の対処法
- 15. 個人開発でFirestoreのセキュリティルールを頑張って書いてみたので少し公開する
- 16. sSSLScan.exe Manual
- 17. 高度サイバー攻撃の痕跡を見つけるためのDNS Queryログ分析:Soliton NKのWinevent インジェスターを用いたWindowsデバイス管理
- 18. 量子コンピュータ/耐量子暗号/量子暗号あたりの関係を整理しておく
- 19. Dockerでファイルマウントができない
- 20. C#でRC4(Arcfour)を計算する
Chromeでの「応答時間が長すぎます」エラーにハマった時は…..
##概要
メルカリのクローンサイトを作成する際にインフラ、デプロイ関係の担当をした者が沼にハマった部分を共有し、同じような状態から抜け出すための一助になればと思ったことが投稿するきっかけになります。
今回は、デプロイ完了後にIPアドレスでブラウザ(Chrome)からログインしようとしても「応答時間が長すぎます」エラーが頻発した際に、原因となった箇所について述べていきます。
AWSなどインフラ関係において、同じような状況で困っている方の一助に少しでもなれたら幸いです。## 環境
– Rails v5.2.3
– Ruby v2.5.1
– Unicorn
– capistrano
– nginx
– mysql
– AWS, EC2(本番環境)## ①まずはじめにセキュリティグループとは
今回、メルカリのクローンサイトを作成する際に用いたインフラ環境はAWS、EC2です。
その設定の中で、セキュリティーグループについて何点か調べて理解した箇所があるので、少しまとめてみようと思います。1. ファイアーウォール機能として挙動する。
2. インスタンスごとに1つ以上のセキュリティ
バッファーオーバーラン (バッファーオーバーフロー) の脆弱性をついた攻撃に入門する
# 0. 概要
脆弱性の基本的な存在、バッファーオーバーラン。簡単に言うと、メモリにロードされたプログラムを書き換えてしまうといったものである。
本来はバグであるものの、使い方によっては攻撃にも応用可能なため、脆弱性と呼ばれているわけである。今回はポインタの理解も含めて、C言語でバッファーオーバーランを説明する。# 1. アドレス空間
アドレス空間について理解せずともバッファーオーバーランのプログラムを書くことはできるが、OSが提供するメモリ管理の基本なので概要だけでも掴んでおいた方が良い。
まず大きく分けて、アドレス空間にはカーネル空間とユーザ空間がある。カーネル空間
カーネル空間は名前の通り、OS起動時にOSの重要な機能が読み込まれるメモリ領域のことである。
なお、Linux等の場合はカーネル空間→ユーザ空間(のプロセス)へ任意のシグナルを送ったりといった特権がある。ユーザ空間
ユーザ空間は、プロセス(アプリケーション)起動時にそのプロセス情報が展開されるメモリ領域のことである。プロセス毎にページテーブルを持ってお
「3分で理解するWEBプログラミングセキュリティ 01」 SQLインジェクションとは?
# 3分で理解するWEBプログラミングセキュリティ 01
**3分で理解するWEBプログラミングセキュリティ**
↓↓記事が出来次第Link貼って行きます↓↓
**No.01 SQLインジェクションとは?**
**No.02 クロスサイトスクリプティングとは?**
**No.03 クロスサイトリクエストフォージェリとは?**
**No.04 ディレクトリトラバーサルとは?**#はじめに
プロかそうでないかの差とも言うべきでしょうか、未経験者と実務経験者の最大の差はセキュリテイに関しての意識だと思っております。
システムを作ることも大事ですが、守ることの方が大事です。
未経験者のポートフォリオにも最低限組み込んでおきたいセキュリティを簡単に紹介していきます。1.SQLインジェクションとは?
・概要
・具体例
2.SQLインジェクション対策(PHPでの実装例)
・文字エンコーディングを指定する
・プレースホルダで実装する##1.SQLインジェクションとは?
**概要**
一般的に、入力フォームで入力した内容をSQL文に埋め込んで命令文を作成し、DB操作を行いま
AWS WAF のアクセスログをとりあえず S3 で確認したい
今回は AWS WAF(Web アプリケーションファイアウォール)を利用するうえで、何かあったときに WAF のログを確認する方法を知っておきたい方という方へ、S3 Select でアクセスが拒否されたログを確認する方法をお送りします。
## AWS WAF のログ出力先について
Web アプリケーションを保護する目的で AWS WAF を導入した場合、WAF のログを Kinesis Data Firehose 経由で S3 に保存することができます。
そして、S3 に保存された WAF ログを S3 の機能である S3 Select を利用して確認することができます。ちなみに、WAF のログの
出力先は Amazon S3、Amazon ElasticSearch、Amazon RedShift を指定できます。(2019年11月25日時点)
大量のログデータを確認する場合は、ElasticSearch と RedShift を選んでいきたいですね。## WAFの設定方法
「WAF のアクセスログを Kinesis Data Firehose 経由で S3 に保存す
【自分用】脆弱性への対処法②
##主な脆弱性
([脆弱性への対処法①](https://qiita.com/tarotaro1129/items/71fd835314a108834b5a))
・OSコマンド・インジェクション
・SQLインジェクション
・ディレクトリ・トラバーサル
・セッションハイジャック
(脆弱性への対処法②)
・クロスサイト・スクリプティング(XSS)
・クロスサイト・リクエストフォージェリー(CSRF)
・HTTPヘッダインジェクション
・クリックジャギング##脆弱性の具体例と対策
###クロスサイト・スクリプティング(XSS)
XSSとは、動的にHTMLを生成する機能(JavaScriptなどによってHTMLが生成されている機能)において、悪意を持ったユーザーにHTML、JavaScript、CSSの変更がなされてしまうことです。例えば、掲示板など自分の書いた情報が反映されるアプリがあるとした場合、
“`HTML