セキュリティ | レコチョクのエンジニアブログ

【Cookie Prefix】Cookie属性を強制しセキュリティを強化するCookie接頭辞についてまとめてみた

投稿者：祖父江菜緒

2023-09-05Cookie, セキュリティ

はじめまして。株式会社レコチョクシステム開発推進部の祖父江です。

先日業務でサブドメイン間でログイン情報を共有する、という作業がありました。
このときにCookieの接頭辞について調べる機会があり、種類や使い分けについて勉強になったので今回はそれをまとめたいと思います。

CookieとはWebブラウザとWebサーバ間で状態を保持し管理するために、ユーザのWebブラウザで保存されるデータのことです。

Webブラウザ ...

AWS WAFを使って簡単にDoS攻撃を防いでみよう【セキュリティ対策】

投稿者：野村昌男

2017-12-04AWS, WAF, セキュリティ

AWS WAFで簡単にDoS攻撃を防いでみよう

DoS攻撃流行ってますね。もぐら叩きになりがちなDoS攻撃対応ですが、IPアドレスでのブロックだけなら、AWS WAFに実装された [rate-based limit] を使って割とお手軽に対応が出来そうです。

という事で、ちょっと試してみました。

今回の環境

こんな感じで簡単に構築。

EC2はそれぞれBaseAMIから作成。
攻撃は単純にApacheBenchで代用してみます。

Vuls動かしてみた【セキュリティ対策】

投稿者：野村昌男

2017-12-04Vuls, セキュリティ

各環境の脆弱性診断ツールとして、「Vuls」を検証しています。
GUI(vulsrepo)もあると勝手が良いという事で試してみました。

ちなみにVulsはこちらを参照ください。
　
vulsrepoはこちらとなります。

ここの手順通りだと意外とうまくいかなかったので、構築手順はまとめ直します。

localhostが自分自身、vuls-targetがリモートの別サーバを診断した結果です。
結果が同じなのは ...

Vulsを使った脆弱性チェック運用 [環境構築編]【セキュリティ対策】

投稿者：野村昌男

2017-12-01Vuls, セキュリティ

Vulsを使った脆弱性チェック運用はじめるよ

という事で、背景は前の記事で書いた通りですので、実際に環境を構築してみます。
複数アカウントにまたがる環境、且つIPアドレスが結構変動する環境では通常通りのconfigではすんなり動いてくれないため、力業で解決しているところもあります。

当面はIPアドレスが変動してもconfigに反映出来る仕組み作りです。

では、実際に今どんな環境で動いているか見てみましょう。
基本は、公式の内容通りで ...

【re:Invent 2017】Amazon GuardDuty データが取れました【新機能】

投稿者：野村昌男

2017-11-30AWS, GuardDuty, re:Invent, セキュリティ

前回の記事【Amazon GuardDutyが出たと聞いたので】の続きとなります。
Amazon GuardDuty とりあえず一晩置いてみました。

内部のインスタンス間でポートスキャンしてみました。

Dashboardを見てみるやったことInstance A –> (PortScan) –>Instance B

Alartみたいの出てますね。
他に正常通信も行っているのでそこは ...

【re:Invent 2017】Amazon GuardDutyが出たと聞いたので【新機能】

投稿者：野村昌男

2017-11-29AWS, GuardDuty, re:Invent, セキュリティ

re:Invent 2017、今年は何が目玉になるんでしょうか。

Amazon GuardDutyというサービスが発表、リリースされた様です。
ドキュメントを見る限り、IDSに近い感じな様です。

ターゲットはVPC Flow LogとCloudTrail Eventで、異常値が可視化される感じみたいですね。

お値段

無料プランが機能制限無しであるのはうれしいですね。

基本はFlowLogの転送量次第。
何も考 ...

Vulsを使った脆弱性チェック運用【セキュリティ対策】

投稿者：野村昌男

2017-11-29Vuls, セキュリティ

Vulsを使った脆弱性チェック運用を考えてみる

数回に分けて、Vulsを使った脆弱性チェック運用に関して投稿したいと思います。
今回はなんでVulsを使う事になったか、という初めのお話。

Vulsについては、ネット上に何ぞや？といった情報が多くあるので、割愛します。
とりあえずここを見ておけば間違いない。

Vuls GitHub

何故脆弱性チェックをやるのか？

レコチョクもオンプレミス環境でサーバ等運用を行っていた際は、ホ ...

re:Invent 2017 11/27

投稿者：高橋克幸

2017-11-282017-12-01AWS, re:Invent, re:Invent2017, serverless, セキュリティ

re:Invent 1日目レポート

初日は以下の３つのセッションに参加しました。

FSV301 – Security Anti-Patterns: Mistakes to Avoid
SRV314 – Building a Serverless Pipeline to Transcode a Two-Hour Video in Minutes
ABD203 – Real-Time Streaming Applicat ...

あなたのWebアプリケーションは安全ですか？〜インジェクション編〜

投稿者：にょこた

2017-09-07セキュリティ

インジェクションHTTPリクエスト送ると、Webアプリケーションは、さまざまなシステムに出力処理を行う場合がありますデータベースにデータを書く
シェルを実行する
メールを送る
ブラウザに返信する

上記に共通することは、何らかの文字列を処理しているところDBへの処理だと、SQL
HTTPメッセージ処理だと、HTML

これらに不備があると脆弱性が発生します
これらの脆弱性がインジェクンションに分類されます ...