セキュリティ関連
■ はじめに https://dk521123.hatenablog.com/entry/2017/02/26/231046 の続き。 今回は、AWSでの多要素認証(MFA)について扱う。 なお、多要素認証(MFA)については、以下の関連記事を参照のこと。 多要素認証(MFA:Multi-Factor Authentication) https…
■ はじめに 今回は、Githubでの多要素認証(MFA)について扱う。 なお、多要素認証(MFA)については、以下の関連記事を参照のこと。 多要素認証(MFA:Multi-Factor Authentication) https://dk521123.hatenablog.com/entry/2019/10/03/222600 目次 【1】…
■ はじめに ファイルの暗号化・複合化できるツールを纏める ■ 関連用語 PGP(Pretty Good Privacy=かなり良いプライバシー) Philip Zimmermannが開発した暗号ソフトウェア GPG (GnuPG; GNU Privacy Guard) PGPをベースとした標準仕様 OpenPGP を実装したソフ…
■ はじめに 二要素認証/多要素認証(MFA:Multi-Factor Authentication)について 触れる機会があったので、まとめる ■ 多要素認証とは 認証の以下の3要素のうち、2つ以上を組み合わせて認証すること ~~~~ 1)知識情報(Something You KNOW) ... 例:…
■ 公開鍵認証とは * 秘密鍵と公開鍵という鍵ペアを使用する認証方式 * 公開鍵認証では、パスワードを入力しないため、パスワードがネットワーク上を流れることがないため、 パスワードの盗難や推測などの攻撃を防ぐことができる => 逆に鍵が盗まれたらアウト…
■ ブロック暗号 以下の手順で暗号化する [1] データを一定の長さに切る(この固定長のデータをブロックと呼ぶ) [2] [1]のブロック単位で暗号化する ■ 暗号利用モード (1) ECBモード (Electronic Codebook Mode) (2) CBCモード (Cipher Block Chaining Mode) (…
■ 比較 * 以下の機関やサイトで比較した結果をみてみる + AV-Test + AV-comparatives + その他 AV-Test * ドイツにある独立系のセキュリティ製品の評価を行う第三者テスト機関 2017年10月 / Windows https://www.av-test.org/en/antivirus/home-windows/wind…
■ はじめに AWS での セキュリティ について、少しづつまとめる 目次 【1】セキュリティ関連のAWSサービス 【2】考慮できること 【1】セキュリティ関連のAWSサービス 主なAWSサービスは以下の通り。 01)IAM 02)AWS Inspector 03)AWS WAF 04)A…
■ DES (デス。Data Encryption Standard) * 64ビットのキーを利用(8ビットはパリティとして使うため、実際は、56ビット) 注意点 * 脆弱性(総当たり攻撃、差分解読法、線形解読法)が見つかっているため、 現在使用すべきではない 参考文献 http://msdn.micros…
■ はじめに パスワードについて、掘り下げてみる 目次 【1】セキュリティ攻撃 1)ブルートフォース攻撃(総当たり攻撃) 2)レインボー攻撃 【2】攻撃に対する対策 1)ソルト(Salt) 2)ストレッチング 【1】セキュリティ攻撃 1)ブルートフォース攻…
WS-Security * WS-Security : Web Services Security、WSS * Webサービス(SOAP)をセキュアに通信するためのプロトコル * SSLには依存しない (アプリケーション層で動作するSOAPメッセージへのヘッダにセキリュティ機能を導入している) 主な機能 [1] セキ…
Web開発で気をつける事項 【1】 アドレスバー/ステータスバー/右クリックメニューを非表示にしない 【2】 SSLサイトの場合、画像/JS/CSSなどもHTTPS通信にする 【3】frame/iframe を極力使用しない 【1】アドレスバー/ステータスバー/右クリックメニューを非…
■ クリックジャッキング(Clickjacking) * 悪意のあるサイト上でクリックした時に、別サイトの設定情報を変更させる 具体的には... 1) 攻撃者のページは、iframeなどで他のページを表示 2) そのページに重ねて悪意のあるボタンをそのページと同じ配置で設置…
はじめに * 脆弱性を知って、そのアルゴリズムを使わせないようにし、セキュリティ強化する ■SSL全般 * ここでいうSSLは、SSLv1.0~3.0 SSL1.0 * 設計レビューの時点でプロトコルの脆弱性が発見されたため破棄(一般にはでてない?) SSL2.0 * 通称「DROWN(De…
[1] X-Content-Type-Options 内容からのコンテントタイプの推測しない X-Content-Type-Options: nosniff 参考文献 MSDN https://msdn.microsoft.com/ja-jp/library/gg622941.aspx その他一般サイト http://d.hatena.ne.jp/hasegawayosuke/20110106/p1 http:/…
■ はじめに https://dk521123.hatenablog.com/entry/2015/02/03/151621 の続き。 DNSに関するセキュリティ攻撃である DNSキャッシュポイズニング(DNS cache poisoning) について学ぶ。 目次 【1】前提知識 【2】DNSキャッシュポイズニング(DNS cache poiso…
■ IP スプーフィングとは? IP スプーフィング(IP Spoofing, Spoof : だます、Spoofing:なりすまし)とは... * 攻撃元の IP アドレスを隠ぺいするために、偽の送信元IPアドレスを持ったパケットを作成し送ること ■ 問題 * 攻撃元がわからなくなるため、 「ポ…
■ はじめに Wise men learn by other men's mistakes; fools by their own https://dk521123.hatenablog.com/entry/2016/07/02/212547 の続き。 SQLインジェクション(SQL Injection, Injection:混入) について、学ぶ ■ SQLインジェクションとは? * SQL命令…
【1】セッションハイジャック(Session Hijack) セッションハイジャック(Session Hijack)とは... * セッションIDやセッション・クッキーを盗むことにより、 別のユーザーがなりすまして、インターネットに不正アクセスする手口。 【例】 * 以下に書かれて…
【1】パス トラバーサル(パスの乗り越え) パス トラバーサル(パスの乗り越え) / ディレクトリ トラバーサル(Directory Traversal)とは... * 上位ディレクトリへの移動コマンド「../」などで、上位ディレクトリをさかのぼり(横断して = Traversal)、 …
■ はじめに クロス・サイト・リクエスト・フォージェリ (Cross Site Request Forgeries; CSRF(シーサーフ))について扱う 目次 【1】クロス・サイト・リクエスト・フォージェリ 【2】手法 【3】具体的な被害 【4】対策 【5】CORS (Cross-Origin Resour…
■ クロスサイトスクリプティング クロスサイトスクリプティング(XSS / CSS:Cross Site Scripting)とは ページ内に悪意のスクリプトやタグが埋め込まるセキュリティホールの一種。 ■ 問題 * スクリプトを自由に実行できてしまうこと。 ■ 具体的な被害 * 具体…
■ Ajax特有のリスク * Ajax特有のリスクを考える。 http://www.websec-room.com/2013/07/28/876 http://d.hatena.ne.jp/ockeghem/20110907/p1 が参考になる 【1】XSS 1-1) 対応 (1) 「X-Requested-With: XMLHttpRequest」 のあるリクエストのみを許可する =>…
SSL / TLS SSL(Secure Socket Layer) * ネット上で情報を暗号化して送受信できる仕組み TLS(Transport Layer Security) * SSLをベースとした標準化した暗号通信プロトコル。RFC2246として規格化されている。 * 以下の表を見る限り、SSLより優れてる? http…
■ はじめに http://codezine.jp/article/detail/105 http://d.hatena.ne.jp/ozuma/20130511/1368284304 などを使って、SSL通信を学ぶ。 補足:暗号化に関わる用語 * 以下の関連記事を参照のこと https://blogs.yahoo.co.jp/dk521123/37269757.html ■ 用語整…
■ はじめに 理解するために、いくつかの工程を踏んで、公開鍵暗号法について理解する ■ 用語 * 公開鍵 ... 暗号化だけできる鍵 * 秘密鍵 ... 複合化だけできる鍵 よく、以下のように例えられる。 * 秘密鍵 ... 鍵 * 公開鍵 ... 南京錠 https://www.b-chan.jp…
■ はじめに セキュリティ攻撃や脆弱性についてまとめる。 目次 【0】脆弱性について 1)脆弱性の大別 2)セキュリティ問題の根源 【1】スクリプト関連 1)クロス・サイト・スクリプティング 2)クロス・サイト・リクエスト・フォージェリ 【2】パス・…