■ はじめに https://dk521123.hatenablog.com/entry/2022/06/09/174851 で、シングルサインオンのSAMLは以前取り扱ったが、 IDフェデレーションがどんなものか 理解があやふやになってきたので、メモする # 調べて余計わけわからなくなったことは否めないが …

■ はじめに 仕事で、HMACなるものがでてきたので調べてみた。 軽く書いて終わらせるつもりだったが、 内容がかなりの量になり、かつ、勉強になった。 目次 【１】MAC １）入力値 ２）MACを使った認証の流れ ３）一方向ハッシュ関数との違い 【２】HMAC 【３…

■ はじめに ハッシュについてまとめる。 目次 【１】ハッシュ 【２】特徴 【３】用途 【４】使用上の注意 【５】主なハッシュアルゴリズム 【１】ハッシュ * あるデータをハッシュ関数という特別な関数を使うと、 決まった長さのビット列になる、この値を「…

■ はじめに https://dk521123.hatenablog.com/entry/2017/02/26/231046 の続き。 今回は、AWSでの多要素認証（MFA）について扱う。 なお、多要素認証（MFA）については、以下の関連記事を参照のこと。 多要素認証（MFA：Multi-Factor Authentication） https…

■ はじめに 今回は、Githubでの多要素認証（MFA）について扱う。 なお、多要素認証（MFA）については、以下の関連記事を参照のこと。 多要素認証（MFA：Multi-Factor Authentication） https://dk521123.hatenablog.com/entry/2019/10/03/222600 目次 【１】…

■ はじめに ファイルの暗号化・複合化できるツールを纏める ■ 関連用語 PGP(Pretty Good Privacy=かなり良いプライバシー) Philip Zimmermannが開発した暗号ソフトウェア GPG (GnuPG; GNU Privacy Guard) PGPをベースとした標準仕様 OpenPGP を実装したソフ…

■ はじめに 二要素認証/多要素認証（MFA：Multi-Factor Authentication）について 触れる機会があったので、まとめる ■ 多要素認証とは 認証の以下の3要素のうち、2つ以上を組み合わせて認証すること ～～～～ １）知識情報（Something You KNOW） ... 例：…

■ 公開鍵認証とは * 秘密鍵と公開鍵という鍵ペアを使用する認証方式 * 公開鍵認証では、パスワードを入力しないため、パスワードがネットワーク上を流れることがないため、 パスワードの盗難や推測などの攻撃を防ぐことができる => 逆に鍵が盗まれたらアウト…

■ はじめに 暗号に関わる用語についてまとめる 目次 【１】ブロック暗号 【２】暗号利用モード １）ECBモード (Electronic Codebook Mode) ２）CBCモード (Cipher Block Chaining Mode) 【１】ブロック暗号 * 以下の手順で暗号化する [1] データを一定の長さ…

■ 比較 * 以下の機関やサイトで比較した結果をみてみる + AV-Test + AV-comparatives + その他 AV-Test * ドイツにある独立系のセキュリティ製品の評価を行う第三者テスト機関 2017年10月 / Windows https://www.av-test.org/en/antivirus/home-windows/wind…

■ はじめに AWS での セキュリティ について、少しづつまとめる 目次 【１】セキュリティ関連のAWSサービス 【２】考慮できること 【１】セキュリティ関連のAWSサービス 主なAWSサービスは以下の通り。 ０１）IAM ０２）AWS Inspector ０３）AWS WAF ０４）A…

【１】DES (Data Encryption Standard) * DES(デス) * 64ビットのキーを利用(8ビットはパリティとして使うため、実際は、56ビット) 注意点 * 脆弱性(総当たり攻撃、差分解読法、線形解読法)が見つかっているため、 現在使用すべきではない 参考文献 http://m…

■ はじめに パスワードについて、掘り下げてみる 目次 【１】セキュリティ攻撃 １）ブルートフォース攻撃(総当たり攻撃) ２）レインボー攻撃（Rainbow Attack） 【２】攻撃に対する対策 １）ソルト（Salt） ２）ストレッチング 【１】セキュリティ攻撃 １）…

WS-Security * WS-Security : Web Services Security、WSS * Webサービス（SOAP）をセキュアに通信するためのプロトコル * SSLには依存しない （アプリケーション層で動作するSOAPメッセージへのヘッダにセキリュティ機能を導入している） 主な機能 [1] セキ…

Web開発で気をつける事項 【1】 アドレスバー/ステータスバー/右クリックメニューを非表示にしない 【2】 SSLサイトの場合、画像/JS/CSSなどもHTTPS通信にする 【3】frame/iframe を極力使用しない 【1】アドレスバー/ステータスバー/右クリックメニューを非…

■ クリックジャッキング（Clickjacking） * 悪意のあるサイト上でクリックした時に、別サイトの設定情報を変更させる 具体的には... 1) 攻撃者のページは、iframeなどで他のページを表示 2) そのページに重ねて悪意のあるボタンをそのページと同じ配置で設置…

■ はじめに 脆弱性を知って、 そのアルゴリズムを使わせないようにし、セキュリティ強化する 目次 【１】SSL全般 １）SSL1.0 ２）SSL2.0 ３）SSL3.0 【２】暗号アルゴリズム １）Diffie-Hellman（DH）鍵交換 ２）RSA 鍵交換暗号 ３）CBC モード ４）RC4 アル…

[1] X-Content-Type-Options 内容からのコンテントタイプの推測しない X-Content-Type-Options: nosniff 参考文献 MSDN https://msdn.microsoft.com/ja-jp/library/gg622941.aspx その他一般サイト http://d.hatena.ne.jp/hasegawayosuke/20110106/p1 http:/…

■ はじめに https://dk521123.hatenablog.com/entry/2015/02/03/151621 の続き。 DNSに関するセキュリティ攻撃である DNSキャッシュポイズニング(DNS cache poisoning) について学ぶ。 目次 【０】前提知識 【１】DNSキャッシュポイズニング (DNS cache pois…

■ はじめに インターネット層でのセキュリティ攻撃について扱う 目次 【１】IPアドレス偽造 (IP Spoofing) １）問題 ２）対策 【２】ARP偽造 １）対策 【３】ソースルーティングの悪用 【４】IP/ICMPパケットを用いたDos攻撃 【１】IPアドレス偽造 (IP Spoof…

■ はじめに Wise men learn by other men's mistakes; fools by their own https://dk521123.hatenablog.com/entry/2016/07/02/212547 の続き。 SQLインジェクション(SQL Injection, Injection:混入) について、学ぶ ■ SQLインジェクションとは？ * SQL命令…

【１】セッションハイジャック（Session Hijack） * セッションIDやセッション・クッキーを盗むことにより、 別のユーザーがなりすまして、インターネットに不正アクセスする手口。 例 * 以下に書かれているように、他のユーザのセッションIDを使って、 その…

■ はじめに パス・ディレクトリに関するセキュリティ攻撃についてまとめる 目次 【１】パス トラバーサル（パスの乗り越え） 【２】パス リスティング（Path Listening） 【１】パス トラバーサル（パスの乗り越え） パス トラバーサル（パスの乗り越え） / …

■ はじめに クロス・サイト・リクエスト・フォージェリ (Cross Site Request Forgeries; CSRF（シーサーフ）)について扱う 目次 【１】クロス・サイト・リクエスト・フォージェリ 【２】手法 【３】具体的な被害 【４】対策 【５】CORS (Cross-Origin Resour…

■ クロスサイトスクリプティング クロスサイトスクリプティング(XSS / CSS:Cross Site Scripting)とは ページ内に悪意のスクリプトやタグが埋め込まるセキュリティホールの一種。 ■ 問題 * スクリプトを自由に実行できてしまうこと。 ■ 具体的な被害 * 具体…

■ Ajax特有のリスク * Ajax特有のリスクを考える。 http://www.websec-room.com/2013/07/28/876 http://d.hatena.ne.jp/ockeghem/20110907/p1 が参考になる 【1】XSS 1-1) 対応 (1) 「X-Requested-With: XMLHttpRequest」 のあるリクエストのみを許可する =>…

■ はじめに SSL / TLS について扱う 目次 【１】SSL / TLS 【２】目的 【３】位置付け 【４】暗号化 １）公開鍵暗号 ２）共通鍵暗号 【５】SSL概要 １）概要図 【１】SSL / TLS SSL（Secure Socket Layer） * ネット上で情報を暗号化して送受信できる仕組み …

■ はじめに 理解するために、いくつかの工程を踏んで、公開鍵暗号法について理解する 【０】関連用語 * 公開鍵 ... 暗号化だけできる鍵 * 秘密鍵 ... 複合化だけできる鍵 よく、以下のように例えられる。 * 秘密鍵 ... 鍵 * 公開鍵 ... 南京錠 https://www.b…

■ はじめに セキュリティ攻撃や脆弱性についてまとめる。 目次 【０】脆弱性について １）脆弱性の大別 ２）セキュリティ問題の根源 【１】スクリプト関連 １）クロス・サイト・スクリプティング ２）クロス・サイト・リクエスト・フォージェリ 【２】パス・…