Midnightjapan

WEB

WEBセキュリティ対策

by jun on 5月.02, 2014, under WEB

会社のサーバーが改竄された。メール乗っ取られるわけでもなく、webだけ改ざんして、へんなコンテンツおかれました。

具体的に見せると出元がばれるので、ここでは内緒にします。

その改竄されたページを表示すると最終的にはマルウェアだらけのサイトに飛ばされます。

なぜ、それだけ改竄したんだ?
もっとわかりにくい、有意義な場所もあったろうし、改竄してから二週間も気づいていなかったんだぞ?

うーん。。。不思議。

手口はなにかしらのセキュリティーをついて、FTP以外でファイルを作っているか。これはもしかして古いPerlプログラムの穴でも見つけてクラックでもされたのかな?

putなどされた形跡がない。

前後には海外からの悪名アクセスがたくさんあった。

いずれも数秒間でできるパスワードクラックツールのアクセス。これは防御できている。

聞いてみるとパスワードもほとんど変更されていないそうな。
これはどっちみち危険と、パスワードを強化。さらにFTPも平文だったので、暗号化した。

その二週間後さらに改ざんがあった。

やはりログがない。

これはやはり古いPerlプログラムになにかしらのインジェクションでもってsudoでも実行されたか、プログラムをいれられたらしい。

コメントなし :, more...

某保険会社のWEBシステム開発

by jun on 11月.03, 2012, under Blog, WEB

得意なWEBシステム開発の現場にアサインされました。
構成は守秘義務があるので言えません。

とにかく今日からSIerとして出向することになりました。

SIerで怖いところは言語経験や業界実績なくてもアサインされて一から勉強なんて現場もよくあります。

少しは力を発揮できそうな現場ですが、さすがプロの世界。

一見できなそうな人はいません。

沢山のことを学べそうです。

しばらくは設計書の読み込みとリリース作業の引き継ぎです。

このWebもそうですが、FTPで送信じゃなくてリリースっていう作業になるんですね。
それはそれは面倒な手順書の作成やらリリース資源の整合性確認まで、FTPでプットだけじゃ話にならないようです。

ネットワークも複雑で、いちいち手順を踏んで、申請通りにやらないと始末書だそうで、ドキドキとワクワクがとまりませぬ。

私の独学がどこまで通じるか乞うご期待ですね。

コメントなし : more...

MacBook AirのFlashbackマルウェア対策

by jun on 4月.17, 2012, under Apple, Mac, Mac OS X, MacBook Air, WEB

MacBook AirのFlashbackマルウェア対策の施工をしました。

方法は簡単です。アップデートを適用するだけ。

アップデートはこれ。

MacBook Air Flashbackマルウェア対策

MacBook Air Flashbackマルウェア対策

感染経路はドライブバイダウンロード(ブラウザでWEBサイトを見るだけで感染させる手法)でJavaの脆弱性を攻撃。

このマルウェアによりユーザーは知らずのうちに様々なウィルスをダウンロードさせられ、インストールされてしまう。

ユーザーが正規のページを閲覧しているようでも、もうそれが改ざんされた悪意あるページだったりする。

感染も蔓延傾向にあり、Appleが駆除ツールの提供を開始した模様。

 

1 コメント :, , , more...

Midnightjapanサイトをスマフォ表示対応完了!

by jun on 11月.09, 2011, under Android, Android, Blog, iPhone, PHP, Programing, WEB

細かなチェックが終わっていませんが、かねてよりスマフォから見に行ってフルブラウズするのは重たいし、なんとかしたいなぁと思っていました。

キャリアごとにテーマを選択できるタイプのプラグインを導入することで対応完了しました!

「利用したWordpressプラグイン」

WPtap Mobile Detector v1.1

これにより各端末ごとにテーマを振り分けが可能になります。

「利用したテーマ」

Smooci2 = iPhone

Foghorn = Android

スマフォでは記事をできるだけ読みやすくしてみました。

とくに難しい設定なく完了しました。

「対応端末」

iPhone/iPod、?iPad、Android、BlackBerry Storm、Nokia、Opera、Palm、Windows Smartphone、Blackberry

それと、こっそりiPhoneも購入しました・・・

敵を知るにはやはり・・・といういいわけでどうっすか?w

($・・)/~~

コメントなし :, , more...

未知の実行時エラーです。IE8

by jun on 8月.02, 2011, under PHP, Programing, WEB

いつものIEの独自判断と思って、原因究明をしました。
じつは、ほかでもこのエラーがでていたので、ちょっと記事に残しておきます。

私が発生した問題。

1)「未知の実行時エラーです。」prototype.js

まだまだ未熟なAjax使いのとしては、稚拙なコード形態のせいで、この問題がjavascript側の問題なのか、ターゲットになるHTMLを処理しているPHP側なのかの判断が難しく戸惑いました。結果はこうです。

このコードの問題はブラウザの描画可能横幅と高さを取得したく

var WindowTakasa= window.innerHeight;

としたところ、どうもIEではこれでは値が取得できない。

その後の計算で、IE8では「Undefine」値を処理できず、止まってしまうようなんですね。
IE9では値の取得も、処理も継続してくれました。

ブラウザ判定で条件分岐してIEの場合は

var WindowTakasa = document.documentElement.clientHeight;

として、そのほかのブラウズでは従来通り

var WindowTakasa= window.innerHeight;

として、問題は解決しました。どこが未知の実行時エラーなんでしょうか?IEの判断力が私より稚拙ということですね。

 

2)未知の実行時エラーです。 server.php

これは「HTML_AJAX」というAJAXツールです。こんなものに頼らなければよかった。もしかしたらPrototypeも別で組み込んでいるので、その辺の問題なのかもしれません。本来はその辺のブラウザ互換もやってのけてくれるのがこのツールのいいところなんですが、Prototypeの命令を覚えてくると、似たような言葉で覚えるのが面倒なものが多いです。

これは、独自のプルダウンメニューを表示する機能を作成をしようと、Prototype.jsにより、<div>の中をHTML_AJAX.replace( ‘ID’ , PHPprogram);として、書き換える処理を行っていました。

最初はjavascript側のスコープか、なにかIEの独自違反を疑っていましたが、皆目見当がつかず、2~3時間が経過。

全面的に古いバージョンを戻したら動きました。

どう見比べても、???せめて増やしたのがこの<div>の中に<form>を追加したこと。それが、本人もなぜここに<form>を追加したのかわかりません。

どうも<form>の中に<form>を宣言していたらしく、innerHTMLで<table>の中身を書き換えようとすると読み込み専用となり、同じように未知の実行エラーと表示されるようなので、犯人はこれのようです。

Ajaxで読み込まれるPHPプログラムがわを変更し<form>を削除。

下記のようなときに問題がおきました。

<form name=”A”>

<input type=”button” ?onClick=”MenuOpen(‘open’);”> Ajax実行

<div id=”PullDownMenu”></div>     ←Ajax実行結果をここに書き換えたときに<form></form>をいれてしまった。

</form>

ということです。

この明確な範囲違反を未知の実行時エラーとするIE・・・やっぱり俺より稚拙なのか?w

どうかみなさんが、私のようにつまらないところで、つまづきませんようjに。

コメントなし :, , , , , more...



何かお探しですか?

以下にキーワードを入力してサイト内検索が可能です:

Still not finding what you're looking for? Drop a comment on a post or contact us so we can take care of it!