セキュリティ関連

【AWS】IAM ~ 多要素認証(MFA)の設定 ~

■ はじめに https://dk521123.hatenablog.com/entry/2017/02/26/231046 の続き。 今回は、AWSでの多要素認証(MFA)について扱う。 なお、多要素認証(MFA)については、以下の関連記事を参照のこと。 多要素認証(MFA:Multi-Factor Authentication) https…

【Github】Github ~ 多要素認証(MFA)の設定 ~

■ はじめに 今回は、Githubでの多要素認証(MFA)について扱う。 なお、多要素認証(MFA)については、以下の関連記事を参照のこと。 多要素認証(MFA:Multi-Factor Authentication) https://dk521123.hatenablog.com/entry/2019/10/03/222600 ■ 設定方法 …

【フリーソフト】暗号化・複合化ツール ~ GPG4WIN ~

■ はじめに ファイルの暗号化・複合化できるツールを纏める ■ 関連用語 PGP(Pretty Good Privacy=かなり良いプライバシー) Philip Zimmermannが開発した暗号ソフトウェア GPG (GnuPG; GNU Privacy Guard) PGPをベースとした標準仕様 OpenPGP を実装したソフ…

多要素認証(MFA:Multi-Factor Authentication)

■ はじめに 二要素認証/多要素認証(MFA:Multi-Factor Authentication)について 触れる機会があったので、まとめる ■ 多要素認証とは 認証の以下の3要素のうち、2つ以上を組み合わせて認証すること ~~~~ 1)知識情報(Something You KNOW) ... 例:…

【Linux】 SSH公開鍵認証方式

■ 公開鍵認証とは * 秘密鍵と公開鍵という鍵ペアを使用する認証方式 * 公開鍵認証では、パスワードを入力しないため、パスワードがネットワーク上を流れることがないため、 パスワードの盗難や推測などの攻撃を防ぐことができる => 逆に鍵が盗まれたらアウト…

【セキュリティ】 暗号に関わる用語

■ ブロック暗号 以下の手順で暗号化する [1] データを一定の長さに切る(この固定長のデータをブロックと呼ぶ) [2] [1]のブロック単位で暗号化する ■ 暗号利用モード (1) ECBモード (Electronic Codebook Mode) (2) CBCモード (Cipher Block Chaining Mode) (…

【Windows】【Linux】【セキュリティ】ウィルス スキャン ソフトの比較

■ 比較 * 以下の機関やサイトで比較した結果をみてみる + AV-Test + AV-comparatives + その他 AV-Test * ドイツにある独立系のセキュリティ製品の評価を行う第三者テスト機関 2017年10月 / Windows https://www.av-test.org/en/antivirus/home-windows/wind…

【AWS】AWS の セキュリティを考える

■ はじめに AWS での セキュリティ について、少しづつまとめる 目次 【1】セキュリティ関連のAWSサービス 【2】考慮できること 【1】セキュリティ関連のAWSサービス 主なAWSサービスは以下の通り。 1)IAM 2)AWS Inspector 3)AWS WAF 4)AWS Shiel…

【セキュリティ】 暗号化アルゴリズム ~ 共通鍵暗号アルゴリズム編 ~

■ DES (デス。Data Encryption Standard) * 64ビットのキーを利用(8ビットはパリティとして使うため、実際は、56ビット) 注意点 * 脆弱性(総当たり攻撃、差分解読法、線形解読法)が見つかっているため、 現在使用すべきではない 参考文献 http://msdn.micros…

【セキュリティ】 パスワード について

セキュリティ攻撃 [1] ブルートフォース攻撃(総当たり攻撃) [2] レインボー攻撃 [1] ブルートフォース攻撃(総当たり攻撃) * 総当たり的にハッシュ値を計算することでパスワードを推察する [2] レインボー攻撃 * 予め任意の文字列をハッシュ値に変換しておき…

【プロトコル】【セキュア】 WS-Security

WS-Security * WS-Security : Web Services Security、WSS * Webサービス(SOAP)をセキュアに通信するためのプロトコル * SSLには依存しない (アプリケーション層で動作するSOAPメッセージへのヘッダにセキリュティ機能を導入している) 主な機能 [1] セキ…

【セキュリティ】 Web開発で気をつける事項

Web開発で気をつける事項 【1】 アドレスバー/ステータスバー/右クリックメニューを非表示にしない 【2】 SSLサイトの場合、画像/JS/CSSなどもHTTPS通信にする 【3】frame/iframe を極力使用しない 【1】アドレスバー/ステータスバー/右クリックメニューを非…

【セキュリティ】 iframe に関わるセキュリティ攻撃

■ クリックジャッキング(Clickjacking) * 悪意のあるサイト上でクリックした時に、別サイトの設定情報を変更させる 具体的には... 1) 攻撃者のページは、iframeなどで他のページを表示 2) そのページに重ねて悪意のあるボタンをそのページと同じ配置で設置…

【セキュリティ】SSL / TLS 脆弱性

はじめに * 脆弱性を知って、そのアルゴリズムを使わせないようにし、セキュリティ強化する ■SSL全般 * ここでいうSSLは、SSLv1.0~3.0 SSL1.0 * 設計レビューの時点でプロトコルの脆弱性が発見されたため破棄(一般にはでてない?) SSL2.0 * 通称「DROWN(De…

【セキュリティ】セキュリティ強化に有効なレスポンス・ヘッダー

[1] X-Content-Type-Options 内容からのコンテントタイプの推測しない X-Content-Type-Options: nosniff 参考文献 MSDN https://msdn.microsoft.com/ja-jp/library/gg622941.aspx その他一般サイト http://d.hatena.ne.jp/hasegawayosuke/20110106/p1 http:/…

【セキュリティ】DNSに関するセキュリティ攻撃

■ はじめに https://dk521123.hatenablog.com/entry/2015/02/03/151621 の続き。 DNSに関するセキュリティ攻撃である DNSキャッシュポイズニング(DNS cache poisoning) について学ぶ。 目次 【1】前提知識 【2】DNSキャッシュポイズニング(DNS cache poiso…

【セキュリティ】IP スプーフィング(IP Spoofing)

■ IP スプーフィングとは? IP スプーフィング(IP Spoofing, Spoof : だます、Spoofing:なりすまし)とは... * 攻撃元の IP アドレスを隠ぺいするために、偽の送信元IPアドレスを持ったパケットを作成し送ること ■ 問題 * 攻撃元がわからなくなるため、 「ポ…

【SQL】SQL アンチパターン ~ SQL Injection(SQLインジェクション) ~

■ はじめに Wise men learn by other men's mistakes; fools by their own https://dk521123.hatenablog.com/entry/2016/07/02/212547 の続き。 SQLインジェクション(SQL Injection, Injection:混入) について、学ぶ ■ SQLインジェクションとは? * SQL命令…

【セキュリティ】セッション操作関連

【1】セッションハイジャック(Session Hijack) セッションハイジャック(Session Hijack)とは... * セッションIDやセッション・クッキーを盗むことにより、 別のユーザーがなりすまして、インターネットに不正アクセスする手口。 【例】 * 以下に書かれて…

【セキュリティ】パス・ディレクトリ操作関連

【1】パス トラバーサル(パスの乗り越え) パス トラバーサル(パスの乗り越え) / ディレクトリ トラバーサル(Directory Traversal)とは... * 上位ディレクトリへの移動コマンド「../」などで、上位ディレクトリをさかのぼり(横断して = Traversal)、 …

【セキュリティ】クロス・サイト・リクエスト・フォージェリ

■ クロス・サイト・リクエスト・フォージェリ クロス・サイト・リクエスト・フォージェリ (Cross Site Request Forgeries; CSRF(シーサーフ))とは サイトに、スクリプトや自動転送によって、 ユーザに意図せず別のサイトで、掲示板への書き込みなどを行わ…

【セキュリティ】クロス・サイト・スクリプティング

■ クロスサイトスクリプティング クロスサイトスクリプティング(XSS / CSS:Cross Site Scripting)とは ページ内に悪意のスクリプトやタグが埋め込まるセキュリティホールの一種。 ■ 問題 * スクリプトを自由に実行できてしまうこと。 ■ 具体的な被害 * 具体…

【Ajax】 Ajaxにおけるセキュリティ

■ Ajax特有のリスク * Ajax特有のリスクを考える。 http://www.websec-room.com/2013/07/28/876 http://d.hatena.ne.jp/ockeghem/20110907/p1 が参考になる 【1】XSS 1-1) 対応 (1) 「X-Requested-With: XMLHttpRequest」 のあるリクエストのみを許可する =>…

【プロトコル】SSL / TLS ~知識編~

SSL / TLS SSL(Secure Socket Layer) * ネット上で情報を暗号化して送受信できる仕組み TLS(Transport Layer Security) * SSLをベースとした標準化した暗号通信プロトコル。RFC2246として規格化されている。 * 以下の表を見る限り、SSLより優れてる? http…

【プロトコル】SSL / TLS ~用語・拡張子編~

■ はじめに http://codezine.jp/article/detail/105 http://d.hatena.ne.jp/ozuma/20130511/1368284304 などを使って、SSL通信を学ぶ。 補足:暗号化に関わる用語 * 以下の関連記事を参照のこと https://blogs.yahoo.co.jp/dk521123/37269757.html ■ 用語整…

公開鍵暗号法について

■ はじめに 理解するために、いくつかの工程を踏んで、公開鍵暗号法について理解する ■ 用語 * 公開鍵 ... 暗号化だけできる鍵 * 秘密鍵 ... 複合化だけできる鍵 よく、以下のように例えられる。 * 秘密鍵 ... 鍵 * 公開鍵 ... 南京錠 https://www.b-chan.jp…

【セキュリティ】セキュリティ攻撃一覧

■ はじめに セキュリティ攻撃や脆弱性についてまとめる。 目次 【0】脆弱性について 1)脆弱性の大別 2)セキュリティ問題の根源 【1】スクリプト関連 1)クロス・サイト・スクリプティング 2)クロス・サイト・リクエスト・フォージェリ 【2】パス・…