こんにちは、GMOペパボ株式会社(以下、ペパボ)でCTOをつとめているあんちぽくんです。 4/19に電撃開催されたペパボテックカンファレンスを、今回、7/4にペパボ創業の地・福岡で開催しますので、お知らせいたします。 イベントの概要 ペパボは、ロリポップ！や30days Albumなどのホスティング事業、カラーミーショップやminneなどのEC支援事業、JUGEMやブクログなどのコミュニティ事業といった領域において、多数のサービスを10年以上にわたって運営してきました。そして、その経験の中から、幅広い技術を蓄積してきました。 そんなペパボのエンジニアがお届けする技術トークには、たとえば、14年以上経てなお最新技術を用いて進化を続けるレンタルサーバーのロリポップ！の話、OpenStackでプライベートクラウド基盤を作ったり、その構築・運用を極限まで自動化したりした話、福岡Go界の貴公子による

『Googleから「マルウェアに感染している」という警告が届いたので、調査して欲しい』という依頼を受けて、とあるサイトの調査をしたところ、どうやらWordPressにマルウェアが仕込まれている模様。 かなり時間を掛けて広範囲にヤラれていたので、マルウェアをすべて取り除くのに苦労したのですが、その際に見付けたマルウェアが中々恐しいものだったので、ここに書き残しておきたいと思います。 なお、真似してマルウェアを作られても困るので、ソースの一部を画像で載せることにします。 ## マルウェアのソースを人間に読めるようにしてみる では、早速マルウェアの中身を見てみましょう。 まず、いきなり始まるコメント行。そして、長くて一見ランダムに見える文字列。 そして2行目でランダムに見える文字列を base64_decode() し、eval() しています。base64_encode()しているのは、ソース

You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

脆弱性体験学習ツール AppGoat 脆弱性体験学習ツール AppGoatとは 脆弱性体験学習ツール「AppGoat」は、脆弱性の概要や対策方法等の脆弱性に関する基礎的な知識を実習形式で体系的に学べるツールです。利用者は、学習テーマ毎に用意された演習問題に対して、埋め込まれた脆弱性の発見、プログラミング上の問題点の把握、対策手法の学習を対話的に実施できます。 ウェブアプリケーションの脆弱性対策に必要なスキルを習得したい開発者やウェブサイトの管理者におすすめです。

Security Bulletin Microsoft Security Bulletin MS11-083 - Critical Vulnerability in TCP/IP Could Allow Remote Code Execution (2588516) Published: November 08, 2011 Version: 1.0 General Information Executive Summary This security update resolves a privately reported vulnerability in Microsoft Windows. The vulnerability could allow remote code execution if an attacker sends a continuous flow of speci

Apache HTTP Serverの開発チームは8月24日、同Webサーバーの脆弱性を突くDDoS攻撃ツール「Apache Killer」が出回っていると警告した。該当するApacheは1.3系および2系の全バージョン。パッチ発行までユーザーはおのおので対応を講じるよう呼びかけている。 Apache KillerはFull-disclosureというメーリングリストで先週公開された。問題となっているのは「Range header DoS」と呼ばれる脆弱性。リモートから多数のRange指定を含むリクエストを送ることで、ターゲットシステムのメモリとCPUを消費させるというもの。バージョン1.3系および2系のすべてがこの脆弱性を持つという。デフォルト設定ではこの攻撃に対し脆弱で、現在この脆弱性を修正するパッチやリリースはない。Apache Killerではこの脆弱性が悪用され、多数のリクエスト

[user1] xxx: I don’t think there are many people involved in circumventing PSN access in /this/ channel [ "application/x-i-5-ticket" reason=40 > PSN error 80710101 ]

「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す

(Last Updated On: )このタイトルにするとsaltとは、という議論をもう一回する事になるのかもしれませんが、最も近い用語はsaltだと思うので、saltを用語として使います。 随分前からパスワードハッシュはユーザが提供したパスワードと、システムが保持している秘密のランダム文字列と一緒にハッシュ化する方がより安全である、と言っていました。異論がある方もいらしたのですが、どうしてより安全となるのか、場合によっては比べ物にならないくらい安全になるのか、良く分かるビデオを見つけたので紹介します。 （音が大きいので注意！） このビデオを見ると、SQLインジェクションでWebフォーラムのハッシュ化ユーザパスワードを盗み取り、レインボーテーブルを提供しているサイトを利用して「ランダム文字列のパスワード」を解析し、SQLインジェクション情報を提供していたセキュリティ関連フォーラムへの侵入も

大事なファイルを削除したいときやディスクを廃棄・譲渡する時などは、データを完全に消去したいものです。 正直、プロではないので、データ復旧の詳細は詳しくありませんが、rmコマンドでデータを消去してもddコマンド等でデバイスを吸い出して、細かく解析していけば(あまり断片化されていなければ)データは復旧できるかもしれません。 そんなときは、"shred"コマンドが使えるようです。 "shred"を使うと、データの内容を特別なパターンで繰り返し上書きを行い、論理的に破壊することが可能です。 "shred"はGNUのcoreutilsに含まれているコマンドで、おそらくLinuxであれば何もインストールせずとも使えるコマンドかと思います。 尚、"shred"を利用してのディスク廃棄などは、自己責任でお願いします。 さて、"shred"の使い方は、、、 $ shred -u hoge.txtな感じで、-

セキュリティはもちろん重要だが、絶えず最新の対策を用意することは難しく、脆弱性のチェックをネットワーク全体に対して行うのは非常に面倒でもある。よって、そうしたテストを自動化し、なおかつ最も適切な最新のテストを実行できる方法が必要になる。 Open Vulnerability Assessment System （OpenVAS）は、セントラルサーバとGUIフロントエンドからなるネットワークセキュリティスキャナである。OpenVASサーバは、Nessus Attack Scripting Language（NASL）で書かれた何種類ものネットワーク脆弱性テスト（NVT）を実行できる。また、こうしたテストはOpenVASプロジェクトによって頻繁に更新されている。 OpenVASは、Nessusスキャナの以前のバージョン2.2から派生したプロジェクトである。3年ほど前、NessusはGPLを放棄