EC2のIMDSv1とIMDSv2の違いと、IMDSv1を残すリスクの整理
AWS EC2では、インスタンスメタデータサービス(IMDS)を通じて、EC2インスタンスに関連する情報やIAM認証情報を取得できます。IMDSには主に以下の2つのバージョンがあります。v1のリスクがいまいちわからなかっ […]
EC2のIMDSv1とIMDSv2の違いと、IMDSv1を残すリスクの整理 続きを読む »
Security
Amazon Linux 2023のdnf update –securityはyum update –securityと異なる挙動になる
新しいサーバーをAmazon Linux 2023で構築して本番運用を開始しました。 いままでAmazon Linux 2ではパッケージのアップデートを以下のコマンドで確認していました。 yum check-update
Amazon Linux 2023のdnf update –securityはyum update –securityと異なる挙動になる 続きを読む »
CORS(Cross-Origin Resource Sharing)がわからない
OWASPでCross-Domain Misconfigurationの警告が出たのですが、対策がよくわからなかったので調べました。 CORS(オリジン間リソース共有)とは HTTPヘッダーを利用して、あるオリジンで動い
CORS(Cross-Origin Resource Sharing)がわからない 続きを読む »
AWS上にWindows+OWASP Zap環境を作る
OWASP Zapでの脆弱性検査を、開発者PCもしくはオフィスの共有PCから実行することがあります。 その場合、以下のような問題が発生することがあります。 ・ネットワーク帯域の圧迫 ・帰宅時の実行はマシンを起動しておかな
AWS上にWindows+OWASP Zap環境を作る 続きを読む »
AWS WAFでOWASP Top 10の対応
AWS WAFを導入したのでその記録です。 運用コストを考えると、自力でがんばるのはしんどいので、AWSのOWASP10テンプレートを利用しました。 CloudFormationのテンプレートをダウンロード まずはじめに
AWS WAFでOWASP Top 10の対応 続きを読む »
AWSで仮想MFA(Multi-Factor Authentication)を有効にした
はじめに AWSでルートアカウントのMFAを有効にしていないため、Trusted Advisorでいつも怒られるのですが、よく考えたらrootで入られたらすべてが終了なので、設定してみることにしました。 今更感しかないで
AWSで仮想MFA(Multi-Factor Authentication)を有効にした 続きを読む »
サイバーセキュリティについて
私自身は、携帯はガラゲーですので割合に縁遠い問題かな、と思っていましたが…… よくよく考えればゲーム専用と化しているとはいえタブレットは持ってますし、道に迷えば(高頻度)グーグルマップ先生にお伺いを立てたりしてます。 他
クレジットカード取引のセキュリティ対策
はじめに クレジットカード会社、決済代行業者、セキュリティ事業者などから構成される「クレジット取引セキュリティ対策協議会」が、クレジット取引のセキュリティ対策として「実行計画」を取りまとめ公表しています。 クレジットカー
Magentoで構築したサイトの脆弱性チェック
ASP以外での通販サイト構築を検討する場合、日本国内ではEC-CUBEのシェアが高いです。 越境ECの注目度が高まっており、Magento, CS-Cartなど、多言語・他通貨対応のカートシステムについてのお問い合わせが
Magentoで構築したサイトの脆弱性チェック 続きを読む »
パスワード管理
色々なサイトのパスワードを同じものにしてる人多いですよね。 私も以前そうしていたことがあるのですが、今はやっていません。 一つのサイトのパスワードが流出したりすると、他のサイトに影響があったりするからです。
MacOS XのGatekeeper
こんにちは、かねこです。 今流行のSASS/LESSをShin先輩に調べてもらっていたところ、CompassはRubyのインストールいるからめんどくさいけど、Prepros(なんてよむんだ)だったらツールいれるだけで使え