セキュリティ

セキュリティ

Dockle でコンテナベストプラクティスに準拠しているかチェック

概要 Dockle を利用してコンテナベストプラクティスに沿っているかチェックしたい。 goodwithtech/dockle : GitHub 機能は Docker Best Practice または CIS Benchmarks に従っ...
セキュリティ

Trivy でコンテナイメージ、IaC、Dockerfile リポジトリをセキュリティスキャン

概要 Trivy を利用してコンテナのセキュリティチェックを行いたい。 Trivy v0.38 (2023/03/11) 公式リポジトリ。 aquasecurity/trivy - GitHub 公式ドキュメント。 Trivy Docume...
CentOS

Linux Auditd ルールの読み方

CentOS を監視するため Linux Auditd を利用する。 最終的にこの設定を読めるようになる。 Linux Auditd を利用する目的 ファイルアクセスの監視 : ファイル・ディレクトリへのアクセス、修正、実行されたか、属性の...
CentOS

さくらVPSのCentOS6.5で一番最初に行う基本設定

ブログ引っ越そうと思って、もう一つさくらVPSを借りた。 その時の初期設定を残しておく。 順次追加していくつもりで。 参考にされる方は、ユーザ名とsshのポート番号などを適宜変えてください。 ・ユーザ名:runble1 ・ポート番号:500...
FuelPHP

FuelPHPの出力エンコーディングとビューのセキュリティ

FuelPHPのセキュリティについての続き。 FuelPHPの出力エンコーディングと、ビューのセキュリティについて。 ちなみに「エンコーディング」とは、ある形式のデータを一定の規則に基づいて別の形式のデータに変換すること。「符号化」や「エン...
FuelPHP

FuelPHPのセキュリティ

久しぶりの FuelPHPネタ。 FuelPHPのセキュリティはどうなってんの? デフォルトでは Fuel は入力時に POST や GET 変数をフィルタせず、出力時にすべてをエンコードします。 Fuel はまた URI セグメントを使っ...
セキュリティ

「体系的に学ぶ 安全なWebアプリケーションの作り方」を読んで

通称、徳丸本。 今さらながら読み終えた。 書評っていうわけではないけど、思ったことを書こう。 本書は、Webアプリケーションを作ったときのセキュリティ関係のチェックリストになる本だと感じた。 Webアプリケーションを作るとき、どの場所が脆弱...
セキュリティ

「2013年版 10大脅威」を読む

IPAのサイトで、2013年版 10大脅威 身近に忍び寄る脅威という PDFが公開されている(こちらを参照)。 セキュリティ上の脅威に関する内容だ。 その脅威をランキングにして1~10位まで。 最初に出てくるの1位、最後に出てくるのが10位...
HTTP

Cookie(クッキー)について

Webセキュリティを勉強していると、Cookie(クッキー)という文字がよく出てくる。 Cookieの動作を理解しないままプログラムすると、脆弱性を生み出しやすい。 Cookieはセッション管理や CSRF対策などに使われる。 超大切なとこ...
PHP

PDOとプリペアド・ステートメントと静的プレースホルダ(安全なSQLの呼び出し方の補足)

「安全なSQLの呼び出し方」の補足。 今夜こそわかる安全なSQLの呼び出し方 ~ 高木浩光氏に聞いてみた - @ITを読んで、モヤっとしてたことがわかった。 SQLインジェクションについて以下の記事で勉強してたけど、まだまだ未熟。 SQLイ...