Docker Part2©2ch.net

[過去ﾛｸﾞ] Docker Part2©2ch.net (1002ﾚｽ)
上下前次 1-新

このｽﾚｯﾄﾞは過去ﾛｸﾞ倉庫に格納されています｡
次ｽﾚ検索歴削→次ｽﾚ栞削→次ｽﾚ過去ﾛｸﾞﾒﾆｭｰ

796: 2018/12/12(水)15:21 ID:kA2tO+1p(1/2) AAS
セキュリティグループは作ってからEC2インスタンスやロードバランサー、データベースにくっつける

IPアドレスの範囲に加え、
特定のセキュリティグループを持ったインスタンスの接続のみを許可する使い方も出来て便利

797(2): 2018/12/12(水)15:21 ID:afrcY71M(1/5) AAS
AWS使ったことないんだけど、ポートを塞ぐだけでセキュリティ云々言うのは間違ってるよ。
webなんかで言われるセキュリティホールは80とか443を使って侵入するから通信の中身やURLを解析して弾かなきゃいけない。
こんなのは自前で実装するのが普通。

798(2): 2018/12/12(水)15:24 ID:LrMZOP1V(3/9) AAS
>>797
URLを解析って何すんの？
言ってみ

799: 2018/12/12(水)15:25 ID:LrMZOP1V(4/9) AAS
オンプレの場合、一旦納品したサーバーは
脆弱性があろうともバージョンアップしないんだろう

だから脆弱性があるサーバーを守るために
ファイアウォールを使う。

馬鹿としか言いようがないｗ

800: 2018/12/12(水)15:26 ID:kA2tO+1p(2/2) AAS
自分のアプリのバグで大穴を開けなきゃ普通は大丈夫

801(1): 2018/12/12(水)15:32 ID:afrcY71M(2/5) AAS
>>798
jsが仕込まれたURLじゃないかとか色々

802: 2018/12/12(水)15:39 ID:JHof8k11(5/7) AAS
>>794
反論を煽るようなレスをわざわざするなよ

803(1): 2018/12/12(水)15:41 ID:JHof8k11(6/7) AAS
>>798
ストリングクエリとか

804(1): 2018/12/12(水)15:43 ID:LrMZOP1V(5/9) AAS
>>801
え？なに？クライアントからサーバーに
jsが仕込まれたURLが送られてくんの？

>>803
え？なに？ストリングクエリに細工されていたら
サーバーに侵入される脆弱性があるの？

805(1): 2018/12/12(水)15:44 ID:JHof8k11(7/7) AAS
>>804
最初からわかっていたら苦労しない。

806: 2018/12/12(水)15:50 ID:LrMZOP1V(6/9) AAS
>>805
テストもレビューもしないってこと？
細工したクエリストリング流してテストすればわかることだよね？

807: 2018/12/12(水)15:50 ID:afrcY71M(3/5) AAS
可能性を言えばきりがないが、URL依存の攻撃なんか腐るほどパターンがあるから限られたURLだけ通してあげて、
それ以外は404とかに出すに限る。404も別サーバーでいい。
bashショックもURLだったろ。あれはパッチをできるだけ速く当てるしかないが。

808: 2018/12/12(水)15:51 ID:afrcY71M(4/5) AAS
テストとレビューで事足りるならセキュリティは苦労しない。

809: 2018/12/12(水)15:55 ID:LrMZOP1V(7/9) AAS
でもセキュリティあってもテストとレビューで
事足りないものはセキュリティでも漏れるから
意味ないよね

810(2): 2018/12/12(水)15:56 ID:LrMZOP1V(8/9) AAS
> 可能性を言えばきりがないが、URL依存の攻撃なんか腐るほどパターンがあるから限られたURLだけ通してあげて、

だから限られたURLってなんだ？
お前のサーバーは、自分以外のURLで接続できるのか？

811(1): 2018/12/12(水)16:02 ID:afrcY71M(5/5) AAS
>>810
普通いくらでも通るぞ。getも知らないのか？

812: 2018/12/12(水)16:14 ID:LrMZOP1V(9/9) AAS
>>811
どこのサーバーからgetするの？

813(1): 2018/12/13(木)01:38 ID:eanokFZt(1) AAS
>>810
たとえば、基本的なところでは、クエリストリングで、
アプリケーション側で対応するフィールド以外のものは、
排除するとか。

814: 2018/12/13(木)08:28 ID:WRDxjQMU(1/2) AAS
>>797
>webなんかで言われるセキュリティホールは、80とか443を使って侵入するから、
通信の中身やURLを解析して弾かなきゃいけない。
こんなのは自前で実装するのが普通

アプリ製作者が素人で、アプリにバグがあるから、こいつらの技術では自前で実装できないw

SQL 文を文字列でつないで作って、問い合わせる奴。
place holder を使っていない奴は、SQL インジェクションされる

sql文 = "SELECT 列名 FROM 表名 WHERE user_id='$userid';";

この変数に、1 だけなら良いけど、
クラッカーは「1; 文」のように、; を打って、クラッキングする文をつなげてくる
省3

815(1): 2018/12/13(木)08:31 ID:+yv1dYA8(1) AAS
>>813
そんなもんWAFで弾ける
クラウドならそれこそ画面でポチるだけ

上下前次 1-新書関写板覧索設栞歴

あと 187 ﾚｽあります
ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 0.011s