You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
vulnerabilityとsslに関するishideoのブックマーク (28)
-
ishideo 2022/04/21
-
-
Strong SSL Security on nginx - Raymii.org
Strong SSL Security on nginx Published: 14-06-2015 | Last update: 27-04-2019 | Author: Remy van Elst | Text only version of this article ❗ This post is over five years old. It may no longer be up to date. Opinions may have changed. This tutorial shows you how to set up strong SSL security on the nginx webserver. We do this by updating OpenSSL to the latest version to mitigate attacks like Heartble
-
GitHub - skavngr/rapidscan: :new: The Multi-Tool Web Vulnerability Scanner.
one-step installation. executes a multitude of security scanning tools, does other custom coded checks and prints the results spontaneously. some of the tools include nmap, dnsrecon, wafw00f, uniscan, sslyze, fierce, lbd, theharvester, amass, nikto etc executes under one entity. saves a lot of time, indeed a lot time!. checks for same vulnerabilities with multiple tools to help you zero-in on fals
-
Let's EncryptがはまったGolangの落とし穴 - ぼちぼち日記
0. 短いまとめ 300万以上の証明書の失効を迫られたLet's Encryptのインシデントは「Golangでよくある間違い」と書かれているようなバグが原因でした。 1. はじめに、 Let's Encryptは、無料でサーバ証明書を自動化して発行するサービスを行う非営利団体として2014年に設立されました。 2015年にサービス開始されると証明書の発行数はぐんぐん伸び、先月末のプレスリリースでは累計10億枚のサーバ証明書を発行したことがアナウンスされました「Let's Encrypt Has Issued a Billion Certificates」。CTLogの調査から、2020年2月末の時点では有効な全証明書の38.4%がLet's Encryptの証明書であるとみられています「Certificate Validity Dates」。 無料の証明書を提供してもらえるのは非常に嬉し
-
セキュリティエンジニア向けツール(Windows編) - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? すぐ使えるインシデントレスポンス用の汎用的なツールを主に書いています。 フォレンジックやバイナリ・プロトコル解析,ペネトレーションテストなど 専門性の高いツールについては,触れていません.すみません. (2016-09-14更新) フォレンジック ・HDD/ファイル FTK imager lite http://accessdata.com/product-download/digital-forensics/ftk-imager-lite-version-3.1.1 フォレンジックの要は、保全対象(アーティファクト)を汚さないこと.
-
-
Webサーバをセキュアに保つ設定のまとめ - Qiita
はじめに Webサーバをセキュアに保つ為、個人的に行っている設定をざっくりまとめてみました。 設定内容はApache 2.4での運用を想定していますので、他のHTTPdをお使いの方は適宜読み替えてください。 各設定項目は以下のオンラインテストサイトでA+相当を取ることを目指しています。 設定ファイル生成 Mozilla SSL Configuration Generator オンラインテスト Mozilla Observatory Qualys SSL Server Test 前提条件 以下で設定する項目は特にHTTPS接続や攻撃防止に関するものになります。 HTTPdそのものに関する基本設定については別記事をご参照ください。 SSLProtocol 危殆化した古いプロトコルを有効にしている場合、古いプロトコルを標的としたダウングレード攻撃等を受ける可能性がある為、新しいプロトコルのみを有
-
-
-
-
あなたのサーバーは大丈夫?安全なHTTPS設定の確認方法・検証ツール - Qiita
はじめに 本記事では日々変わっていく安全なHTTPS(SSL/TLS)の設定に関する確認手段を紹介します。常にセキュリティ系のニュースをウォッチするのが理想なのですが、完全に追いつくのは至難の業ですよね。 脆弱性とは Wikipedia セキュリティホールより セキュリティホール は、脆弱性についての俗表現である。 脆弱性は、コンピュータソフトウェアの欠陥(バグ、不具合、あるいはシステム上の盲点)の一つで、本来操作できないはずの操作(権限のないユーザが権限を超えた操作を実行するなど)ができてしまったり、見えるべきでない情報が第三者に見えてしまうような不具合をいう。ハードウェアおよびそれを含めたシステム全般の欠陥を指すこともある。 製品XXXのバグにより第三者に悪用されてしまう!といったものから、先日のインテルCPUに対するMeltdown, Spectreといった、仕様に対する脆弱性まで様
-
Apache での TLS1.0 と TLS1.1 の無効化と確認方法メモ
Yahoo! Japan が、2018年6月1日から TLS1.0 と TLS1.1 のサポートを順次終了して TLS1.2 のみのサポートに切り替えています。ここ数年、各社ウェブサービスでも TLS1.0 と TLS1.1 を無効化する動きもあり、今後 SSL/TLS のプロトコルは TLS1.2 以上に設定することが標準になるでしょう。そこで今回は、Apache httpd サーバーで TLS1.0 と TLS1.1 を無効にし、設定を確認する方法をメモしておきました。 参考資料:Yahoo!セキュリティセンター TLS1.0 と TLS1.1 を無効化する理由無効化する理由は、TLS1.0 と TLS1.1(実装にもよる)に POODLE(プードル)という暗号化通信を解読されてしまう脆弱性があるためです。 POODLE が発見された当初は、SSL3.0 のみがこの脆弱性の対象と思われ
-
SSL3.0 徹底解剖!!! 〜 なぜ POODLE に殺されたのか 〜 - もろず blog
©Copyright Yasuhiko Ito 10月の中旬ころに、google のセキュリティチームから POODLE という SSL3.0 の脆弱性が報告されたというニュースを見ました POODLE によって SSL3.0 の暗号通信が解読できることが実証されたので、今後 SSL3.0 は使わずに完全に捨てましょうという流れになっています 今回改めて調べてみると、SSL は過去にも CBC 暗号を使用した場合の脆弱性がいくつか報告されていました Padding Oracle 攻撃 (2002年) BEAST 攻撃 (2011年) Lucky Thirteen 攻撃 (2013年) これらの攻撃をなんとかしのいで生き残ってきた SSL3.0 でしたが、今回の POODLE が致命傷となってついに死んでしましました SSL3.0 の何がマズかったのか、どんな弱点があったのかを見ていきましょ
-
-
コンテナ・セキュリティ入門 脆弱性 - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? コンテナイメージのレジストリでは、脆弱性検査の実装が当たり前になっている。企業でKubernetesなどコンテナを使用するにあたって脆弱性対策がどれほど重要なものか理解するために、脆弱性検査や、関連する国際的な標準について整理した。 脆弱性(ぜいじゃくせい)とは 脆弱性とは、プログラムの動作の不備を悪用される情報セキュリティ上の弱点である。つまり、ソフトウェア上の問題が原因となって生じた欠陥であり、セキュリティホールとも呼ばれる。当然、ソフトウェア開発者は、脆弱性を産まないように細心の注意を払ってコード開発を進めるが、開発者が利用するオ
-
SSL Labsでサーバ設定をチェック - Qiita
サーバにSSLの設定を適用する上で、設定すべき項目は多いし、間違えばセキュリティ的にまずいことになってしまう、あるいは正常に接続できないなど、なかなかややこしいものです。 幸い、そのようなSSLの設定を検証するサービスがあります。 SSL Labs SSL Labsは、Qualysというセキュリティ会社が運営している、SSL関連の便利サイトです。右上にある「Test Your server」からサーバのテストモードに入れます。 なお、具体例がないとわかりづらいかと思いますので、ここから先はqiita.comをチェックした結果を見ていくことにしましょう。 サーバのチェック 同じドメインでいくつかサーバがある場合、まずはサーバを選択する画面が出ます(評価はサーバごとに行います)。サーバを選べば、通信を行って、SSLの設定を評価していきます。 総合評価 qiita.comでは「A」ですが、「A+
-
-
Qualys SSL Labs の SSL脆弱性診断(SSL Server Test)について | 株式会社セブンネット
Qualys SSL Labs社が提供する、SSL Server Test(SSL脆弱性診断)は、SSLサーバ証明書の設定状況の確認や安全性診断などが無料で行えるサイトです。 自社のWebサーバのSSL設定の確認やご自身が利用するサイトのSSLの安全性などの確認に利用できます。 是非、自社のWebサーバを診断し、結果が芳しくない場合は対処をご検討ください。 自社で対応が困難な場合は、弊社までお気軽にご相談ください。 ○SSL Server Testの使い方について 以下のURLを開き、Domain name欄にホスト名(例えば、www.example.com)を入力して Submitボタンをクリックします。 結果がこのページに表示されたくない場合は、「Do not show the results on the boards」にチェックを入れて Submitボタンをクリックしてください。
-
Qualys SSL Labs
HOW WELL DO YOU KNOW SSL? If you want to learn more about the technology that protects the Internet, you’ve come to the right place. Books Bulletproof SSL and TLS is a complete guide to deploying secure servers and web applications. This book, which provides comprehensive coverage of the ever-changing field of SSL/TLS and Web PKI, is intended for IT security professionals, system administrators, a
公式Twitter
- @HatenaBookmark
リリース、障害情報などのサービスのお知らせ
- @hatebu
最新の人気エントリーの配信
キーボードショートカット一覧
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Copyright © 2005-2025 Hatena. All Rights Reserved.
設定を変更しました