AWSなどのクラウドサービスでは、データベースやファイルシステムなどの各種リソースを操作するためのアカウント(IAM)を発行して権限管理を行うことがありますが、このアカウント情報をGitのリポジトリに登録してしまうと、意図せず流出し悪い人に悪用されて…

ここ数日、SSHへのアタックが急激に増加した関係で特定のIPアドレスからだけログインできるよう対応しました。結論から言うと以下の設定を行うだけです。 特定のIPアドレスのみログインできる 特定のIPアドレスをブロックする hosts.allow|denyの書式 注意点…

Quora回答シリーズです。 質問 盗聴の内容をsnsで書き込まれてるのを気づいたらどうしますか？ https://qr.ae/pNsusa 序盤は小説や脚本的なネタで書いていたのですが、結果的にコメント欄が一番ホラーな展開になりましたｗ 詳しくはリンク先をご覧いただけれ…

Quora回答シリーズです。 質問 ゲームのチート対策ツールを作りたいです。どんな勉強から始めたらいいでしょうか？ https://qr.ae/pNsuKw Quoraの厄介なところは質問者の詳しい状況が把握できないところなんですよね。知恵袋やTeratailのように個人が抱える…

小ネタが続いてますが、今回も小ネタですｗ Webサイトの改ざん検知を手軽にパパッと行いたい場合、単純にcurlなどで取得したファイルをdiffで比較するだけでも実現できます。 というわけで以下がコード。ここでは最終的にSlackに通知しています。 #!/bin/bas…

WORDPRESSはログインページが「wp-login.php」、ダッシュボードが「wp-admin」と固定で変更もできないため、クラックしようと思うとドメイン名に続けてこれらを指定すれば簡単に総当たり攻撃が出来てしまいます。 WORDPRESSの公式から提供されているプラグイ…

Quora回答シリーズです。 質問 簡単にできるクラッキングの方法を教えてもらえませんか？ この質問は規約に反したのかQuoraの運営によって削除されてしまいました。私の回答は市販されている書籍などに掲載されている一般的な内容でしたので、こちらのブログ…

Quora回答シリーズです。 質問 社内でGitHub等のクラウド上のコード管理の利用を検討中です。開発は使用したいのですが、セキュリティ委員がセキュリティ面で納得しません。皆さんの会社ではどうのようなセキュリティ対策をしていますか？ https://qr.ae/TVe…

本番用のWebサーバでは利用しているソフトウェアのバージョン情報を表示しません。 例えば何らかの事情で最新版を利用していないことがわかると簡単に脆弱性を突かれてしまいます。また直接的に攻撃をされなくともクラックのきっかけになりますので不要な情…

前回の続きです。 狙われやすいアカウント名ランキングに続きまして、どこの国からアタックを受けているかも調査してみました。…まぁなんとなく結果はわかっていましたが、数値化するのが大事ですよね！（虚空を見つめがら） 結果発表 IPアドレス単位 # カウ…

専門学校の生徒用にAWS(Lightsail)でサーバを一台用意しているのですが、(乗っ取られてはいない物の)意図せずハニーポット状態になっていたので、どのアカウント名が狙われていたか軽く集計してみました。 前提 サーバ自体は2018年12月16日に立ち上げたので…

セキュリティ対策用の記事です。仕組みを解説するためのコードであって幇助しているわけではありません。実際に悪用しないでください ネット上での不正なハッキング(クラッキング)手段の一つ、イベイシブ攻撃が具体的にどのようなコードになるのか解説する。…