まったり技術ブログ

主にWebエンジニア向けのセキュリティブログ。たまに開発も

CookieのSameSite属性で「防げるCSRF」と「防げないCSRF」

CookieのSameSite属性はCSRF対策のために提案されたもので、その属性をCookieに付与するだけでほとんどのサイトの場合はCSRF対策が可能になります。 しかし、SameSite属性の付与が今までのCSRF対策の代わりになり、今まで行ってきたCSRF対策をしなくてよくな…

LaravelのセッションCookieにSameSite属性を付与

はじめに TL;DR 検証環境 SameSite属性とは SameSite属性が付与されるように設定 設定変更 設定前に発行されるCookie情報 対応Laravelバージョンについて 設定ファイルの編集 確認 設定後に発行されるCookie情報 まとめ 参考 更新履歴 はじめに Cookieの属性…

【開発日誌】Konva.Transformerのスタイル変更

TL;DR ・「Konva.Transformer」コンストラクタの引数を指定することでデザインを変更可能 背景 先日開発したWebアプリケーションでは下画像を見たら分かるようにアンカーをドラッグすることによって画像のサイズ・角度を変えられるようになっています。 ↓そ…

RedshiftのスナップショットをAWS CLIで取得

AWS

はじめに Redshiftで3世代分を残すようなスナップショットの取得方法がやりたかったので、その備忘録。 Bashで実行しています。 実現方法 スナップショットを取得 "aws redshift create-cluster-snapshot"コマンドを使用することで、Redshiftのスナップショ…

TLS1.2のみ許可しているWebDAVサーバをマウントできない

はじめに 検証用WebDAVサーバ エラー発生 原因 現在のバージョン確認 解決策 アップデート後のバージョン 動作確認 はじめに 最近、セキュリティ強化の為にTLS1.1以下の接続を不可にするようなサービスが増えてきています。 勝手にTLS1.2で接続されるだろう…

【随時更新】Webセキュリティ診断ツールのまとめ

Webセキュリティ診断ツール比較サイト sectoolmarket.com Webセキュリティ診断ツール比較サイト GUIアプリケーション型 Burp Suite OWASP ZAP zap-cli Fiddler Watcher X5S コンソールアプリケーション型 SQLMap NoSQLMap w3af Arachni Scan My Server WhatW…

【セキュリティ】LDAPインジェクションをしたかった話

はじめに 検証環境 ホスト コンテナ 構築 OpenLDAP LDAPクライアントアプリケーション 1. アプリケーションの用意 2. コンテナの準備 3. コンテナの実行 動作確認 OpenLDAPの動作確認 予想外の事態発生 脆弱性の検証 正常系の動作確認 脆弱性の確認 ダメな対…

【AWS】ECSで構築した環境でオートスケーリング

はじめに 今回やりたいことのイメージ 構築の流れ この記事で作成するリソース 構築 1. IMA ロールの作成 2. 空のECSクラスタの作成 3. Auto Scaling 起動設定の作成 EC2起動時にECSコンテナインスタンスとして登録する 4. Auto Scaling グループの作成 5. A…

【AWS】Security-JAWSの資料まとめ【第5~9回】

講演資料・スライド 第9回 ◆ 【SecurityJAWS】Kibana Canvasで魅せる!AWS環境における脅威分析ユースケース 【SecurityJAWS】Kibana Canvasで魅せる!AWS環境における脅威分析ユースケース from Hibino Hisashi www.slideshare.net ◆ Security JAWS 【第9回…

【開発日誌】『生つべ』というサービス作ったので利用技術の紹介

先日、『生つべ』というWebサービス開発しました。リリースをしたのはよいが「完成!」と言えるような状態になるのは、まだまだ時間が掛かりそう。 どのようなサービスなのかを簡単に説明をすると「YouTubeの動画を皆で見ながらチャットしようよ」というもの…

Unityビルド時の「AndroidSDKToolsException エラー」の解決

はじめに 発生したエラー 解決方法 参考 はじめに Oculus Go向けにUnityプロジェクトのビルドを実施したらときにエラーになる場合があったので、その解決方法。 発生したエラー /Users/admin/unity/OculusGoSample/Temp/StagingArea/AndroidManifest-main.xm…

FlameScopeを使ってJavaアプリのパフォーマンス可視化

はじめに 検証環境 環境構築 perf インストール FlameScope インストール 検証用Javaアプリケーションの導入 perf-map-agent インストール プロファイリング開始 Javaアプリケーションの起動 Javaアプリケーション用のマッピングファイル(*.map)の作成 プロ…