セキュリティ関連

IDフェデレーション

■ はじめに https://dk521123.hatenablog.com/entry/2022/06/09/174851 で、シングルサインオンのSAMLは以前取り扱ったが、 IDフェデレーションがどんなものか 理解があやふやになってきたので、メモする # 調べて余計わけわからなくなったことは否めないが …

【セキュリティ】メッセージ認証コード ~ MAC / HMAC ~

■ はじめに 仕事で、HMACなるものがでてきたので調べてみた。 軽く書いて終わらせるつもりだったが、 内容がかなりの量になり、かつ、勉強になった。 目次 【1】MAC 1)入力値 2)MACを使った認証の流れ 3)一方向ハッシュ関数との違い 【2】HMAC 【3…

【セキュリティ】ハッシュ / Hash

■ はじめに ハッシュについてまとめる。 目次 【1】ハッシュ 【2】特徴 【3】用途 【4】使用上の注意 【5】主なハッシュアルゴリズム 【1】ハッシュ * あるデータをハッシュ関数という特別な関数を使うと、 決まった長さのビット列になる、この値を「…

【AWS】IAM ~ 多要素認証(MFA)の設定 ~

■ はじめに https://dk521123.hatenablog.com/entry/2017/02/26/231046 の続き。 今回は、AWSでの多要素認証(MFA)について扱う。 なお、多要素認証(MFA)については、以下の関連記事を参照のこと。 多要素認証(MFA:Multi-Factor Authentication) https…

【Github】Github ~ 多要素認証(MFA)の設定 ~

■ はじめに 今回は、Githubでの多要素認証(MFA)について扱う。 なお、多要素認証(MFA)については、以下の関連記事を参照のこと。 多要素認証(MFA:Multi-Factor Authentication) https://dk521123.hatenablog.com/entry/2019/10/03/222600 目次 【1】…

【フリーソフト】暗号化・複合化ツール ~ GPG4WIN ~

■ はじめに ファイルの暗号化・複合化できるツールを纏める ■ 関連用語 PGP(Pretty Good Privacy=かなり良いプライバシー) Philip Zimmermannが開発した暗号ソフトウェア GPG (GnuPG; GNU Privacy Guard) PGPをベースとした標準仕様 OpenPGP を実装したソフ…

多要素認証(MFA:Multi-Factor Authentication)

■ はじめに 二要素認証/多要素認証(MFA:Multi-Factor Authentication)について 触れる機会があったので、まとめる ■ 多要素認証とは 認証の以下の3要素のうち、2つ以上を組み合わせて認証すること ~~~~ 1)知識情報(Something You KNOW) ... 例:…

【Linux】 SSH公開鍵認証方式

■ 公開鍵認証とは * 秘密鍵と公開鍵という鍵ペアを使用する認証方式 * 公開鍵認証では、パスワードを入力しないため、パスワードがネットワーク上を流れることがないため、 パスワードの盗難や推測などの攻撃を防ぐことができる => 逆に鍵が盗まれたらアウト…

【セキュリティ】 暗号に関わる用語

■ はじめに 暗号に関わる用語についてまとめる 目次 【1】ブロック暗号 【2】暗号利用モード 1)ECBモード (Electronic Codebook Mode) 2)CBCモード (Cipher Block Chaining Mode) 【1】ブロック暗号 * 以下の手順で暗号化する [1] データを一定の長さ…

【Windows】【Linux】【セキュリティ】ウィルス スキャン ソフトの比較

■ 比較 * 以下の機関やサイトで比較した結果をみてみる + AV-Test + AV-comparatives + その他 AV-Test * ドイツにある独立系のセキュリティ製品の評価を行う第三者テスト機関 2017年10月 / Windows https://www.av-test.org/en/antivirus/home-windows/wind…

【AWS】AWS の セキュリティを考える

■ はじめに AWS での セキュリティ について、少しづつまとめる 目次 【1】セキュリティ関連のAWSサービス 【2】考慮できること 【1】セキュリティ関連のAWSサービス 主なAWSサービスは以下の通り。 01)IAM 02)AWS Inspector 03)AWS WAF 04)A…

【セキュリティ】共通鍵暗号アルゴリズム

【1】DES (Data Encryption Standard) * DES(デス) * 64ビットのキーを利用(8ビットはパリティとして使うため、実際は、56ビット) 注意点 * 脆弱性(総当たり攻撃、差分解読法、線形解読法)が見つかっているため、 現在使用すべきではない 参考文献 http://m…

【セキュリティ】 パスワード について

■ はじめに パスワードについて、掘り下げてみる 目次 【1】セキュリティ攻撃 1)ブルートフォース攻撃(総当たり攻撃) 2)レインボー攻撃(Rainbow Attack) 【2】攻撃に対する対策 1)ソルト(Salt) 2)ストレッチング 【1】セキュリティ攻撃 1)…

【プロトコル】【セキュア】 WS-Security

WS-Security * WS-Security : Web Services Security、WSS * Webサービス(SOAP)をセキュアに通信するためのプロトコル * SSLには依存しない (アプリケーション層で動作するSOAPメッセージへのヘッダにセキリュティ機能を導入している) 主な機能 [1] セキ…

【セキュリティ】 Web開発で気をつける事項

Web開発で気をつける事項 【1】 アドレスバー/ステータスバー/右クリックメニューを非表示にしない 【2】 SSLサイトの場合、画像/JS/CSSなどもHTTPS通信にする 【3】frame/iframe を極力使用しない 【1】アドレスバー/ステータスバー/右クリックメニューを非…

【セキュリティ】 iframe に関わるセキュリティ攻撃

■ クリックジャッキング(Clickjacking) * 悪意のあるサイト上でクリックした時に、別サイトの設定情報を変更させる 具体的には... 1) 攻撃者のページは、iframeなどで他のページを表示 2) そのページに重ねて悪意のあるボタンをそのページと同じ配置で設置…

【プロトコル】SSL / TLS ~ 脆弱性編 ~

■ はじめに 脆弱性を知って、 そのアルゴリズムを使わせないようにし、セキュリティ強化する 目次 【1】SSL全般 1)SSL1.0 2)SSL2.0 3)SSL3.0 【2】暗号アルゴリズム 1)Diffie-Hellman(DH)鍵交換 2)RSA 鍵交換暗号 3)CBC モード 4)RC4 アル…

【セキュリティ】セキュリティ強化に有効なレスポンス・ヘッダー

[1] X-Content-Type-Options 内容からのコンテントタイプの推測しない X-Content-Type-Options: nosniff 参考文献 MSDN https://msdn.microsoft.com/ja-jp/library/gg622941.aspx その他一般サイト http://d.hatena.ne.jp/hasegawayosuke/20110106/p1 http:/…

【セキュリティ】DNSに関するセキュリティ攻撃

■ はじめに https://dk521123.hatenablog.com/entry/2015/02/03/151621 の続き。 DNSに関するセキュリティ攻撃である DNSキャッシュポイズニング(DNS cache poisoning) について学ぶ。 目次 【0】前提知識 【1】DNSキャッシュポイズニング (DNS cache pois…

【セキュリティ】インターネット層でのセキュリティ攻撃

■ はじめに インターネット層でのセキュリティ攻撃について扱う 目次 【1】IPアドレス偽造 (IP Spoofing) 1)問題 2)対策 【2】ARP偽造 1)対策 【3】ソースルーティングの悪用 【4】IP/ICMPパケットを用いたDos攻撃 【1】IPアドレス偽造 (IP Spoof…

【SQL】SQL アンチパターン ~ SQL Injection(SQLインジェクション) ~

■ はじめに Wise men learn by other men's mistakes; fools by their own https://dk521123.hatenablog.com/entry/2016/07/02/212547 の続き。 SQLインジェクション(SQL Injection, Injection:混入) について、学ぶ ■ SQLインジェクションとは? * SQL命令…

【セキュリティ】セッションに関するセキュリティ攻撃

【1】セッションハイジャック(Session Hijack) * セッションIDやセッション・クッキーを盗むことにより、 別のユーザーがなりすまして、インターネットに不正アクセスする手口。 例 * 以下に書かれているように、他のユーザのセッションIDを使って、 その…

【セキュリティ】パス・ディレクトリに関するセキュリティ攻撃

■ はじめに パス・ディレクトリに関するセキュリティ攻撃についてまとめる 目次 【1】パス トラバーサル(パスの乗り越え) 【2】パス リスティング(Path Listening) 【1】パス トラバーサル(パスの乗り越え) パス トラバーサル(パスの乗り越え) / …

【セキュリティ】クロス・サイト・リクエスト・フォージェリ

■ はじめに クロス・サイト・リクエスト・フォージェリ (Cross Site Request Forgeries; CSRF(シーサーフ))について扱う 目次 【1】クロス・サイト・リクエスト・フォージェリ 【2】手法 【3】具体的な被害 【4】対策 【5】CORS (Cross-Origin Resour…

【セキュリティ】クロス・サイト・スクリプティング

■ クロスサイトスクリプティング クロスサイトスクリプティング(XSS / CSS:Cross Site Scripting)とは ページ内に悪意のスクリプトやタグが埋め込まるセキュリティホールの一種。 ■ 問題 * スクリプトを自由に実行できてしまうこと。 ■ 具体的な被害 * 具体…

【Ajax】 Ajaxにおけるセキュリティ

■ Ajax特有のリスク * Ajax特有のリスクを考える。 http://www.websec-room.com/2013/07/28/876 http://d.hatena.ne.jp/ockeghem/20110907/p1 が参考になる 【1】XSS 1-1) 対応 (1) 「X-Requested-With: XMLHttpRequest」 のあるリクエストのみを許可する =>…

【プロトコル】SSL / TLS ~ 基礎知識編 ~

■ はじめに SSL / TLS について扱う 目次 【1】SSL / TLS 【2】目的 【3】位置付け 【4】暗号化 1)公開鍵暗号 2)共通鍵暗号 【5】SSL概要 1)概要図 【1】SSL / TLS SSL(Secure Socket Layer) * ネット上で情報を暗号化して送受信できる仕組み …

【セキュリティ】公開鍵暗号法について

■ はじめに 理解するために、いくつかの工程を踏んで、公開鍵暗号法について理解する 【0】関連用語 * 公開鍵 ... 暗号化だけできる鍵 * 秘密鍵 ... 複合化だけできる鍵 よく、以下のように例えられる。 * 秘密鍵 ... 鍵 * 公開鍵 ... 南京錠 https://www.b…

【セキュリティ】セキュリティ攻撃一覧

■ はじめに セキュリティ攻撃や脆弱性についてまとめる。 目次 【0】脆弱性について 1)脆弱性の大別 2)セキュリティ問題の根源 【1】スクリプト関連 1)クロス・サイト・スクリプティング 2)クロス・サイト・リクエスト・フォージェリ 【2】パス・…