相変わらず脆弱性の対応に追われている ところどころでセキュリティの観点で ものを見れるようになったことや そもそも覚えることが多いので 役に立っているのはいいが そのうち君セキュリティ担当な！ とか言われたらイヤだなぁ… Webサーバーに文字化け発生…

CookieにSecure属性がついていないという 脆弱性の指摘を受けたのでその対策 今回の環境はWebサーバーがIISで APサーバーがtomcatという構成 tomcat側でもSecure属性の設定は できるんだけど、サイトの構成上 httpとhttpsが混在している場合、 Cookieの情報…

CookieにSecure属性がついてないという ありがたーい脆弱性の指摘を受けた Secur属性とは何かと言うと、 https通信じゃないとCookieを発行しないというものらしい 暗号化されていないhttp通信で Cookieでよく使われるセッションID なんかが漏えいしたら セッ…

httpヘッダーにServerバージョン情報が 表示されてしまうという脆弱性の 指摘を受けた 今回はIISで動いているWebサーバーが 該当したためIISでの対策メモ もちろんApacheやnginxでも それぞれ対策方法があるはず バージョンが表示されてしまう状況の再現と対…

httpヘッダーにASP.NETバージョン情報が 表示されてしまうという脆弱性の 指摘を受けた 実は詳しくは理解してないけど .NETはJavaなんかと 同列のプログラムの フレームワークだと認識している たとえばJavaで書かれたアプリは Apacheを使おうがIISを使おう…

Squidとは そういえば、プロキシサーバーや リバースプロキシってなに？ って聞かれるとイマイチ はっきり答えられない 意外といろんな仕事をしているので 一概にこれと言えないからなのかも しれない 例えば サーバーが複数台あったとして 今どき通信は暗号…

ローカルIPがばれてしまう脆弱性への対策 Apache編 インターネットに公開している Webサーバーについて 脆弱性の診断を受けたところ、 特定の条件下でローカルIPが露呈 されてしまう脆弱性が発見される IISのサーバーだけでなくApacheの サーバーでも発見さ…

ローカルIPがばれてしまう脆弱性への対策 IIS編 インターネットに公開している Webサーバー(IIS)について 脆弱性の診断を受けたところ、 特定の条件下でローカルIPが露呈 されてしまう脆弱性が発見される IISにおいての対策は 結論から言うと バインドの設定…

ローカルIPがばれてしまう脆弱性 インターネットに公開している Webサーバーについて 脆弱性の診断を受けたところ、 特定の条件下でローカルIPが露呈 されてしまう脆弱性が発見される HTTPリクエストを送信する際、 ・http1.0 で ・Hostヘッダを空白にして …