学会ランキングInformation Security Practice and Experience Conference (ISPEC)
認証技術 パスワードから公開鍵まで-Ohmsha
第1章 認証とは 第2章 リユーザブルパスワードシステムの進化 第3章 人の区別 第4章 デザインパターン 第5章 ローカル認証 第6章 PINとパスワードの選び方 第7章 バイオメトリック 第8章 アドレスによる認証 第9章 認証トークン 第10章 チャレンジレスポンスパスワード 第11章 間接認証 第12章 KerberosとWindows 第13章 公開鍵とオフライン認証 第14章 公開鍵証明書 第15章 私有鍵のセキュリティ 付録A 各章の注釈 付録B 参考文献 付録C Webサイト/ベンダ情報 付録D 用語集 献辞 著者について はじめに 本書の内容 本書の対象読者 謝辞 監訳者序文 目次 凡例 ■第1章 認証とは この章の内容 1.1 むかしむかし 1.2 認証システムの構成要素 攻撃と防御のいたちごっこ セキュリティ戦略 1.3 タイムシェアリングシステムでの認証 パ
WebAuthnことはじめ | メルカリエンジニアリング
こんにちは。株式会社メルペイのID Platformチームでエンジニアをしている @nerocrux です。この記事はMERPAY TECH OPENNESS MONTHの12日目の記事です。 はじめに WebAuthnについて 概要 システム構成 登録と認証 登録 認証 Attestation について Attestation検証の概要 AttestationObject のフォーマット AttestationObject の検証 1. AttestationObject のデコード 2. authenticatorData について 3. credentialPublicKey のパース 4. verificationData の準備 5. 証明書フォーマットの変換 6. 署名検証 Assertion について Assertion の検証 1. authenticatorData につ
パスワードの不要な世界はいかにして実現されるのか - FIDO2 と WebAuthn の基本を知る
不正送金やアカウントの乗っ取りなど、パスワードが原因の事件が後を絶ちません。高齢者など、IT リテラシの低い人でも簡単かつ安全に自分のオンラインアカウントを管理できる世界が理想ですが、まずはパスワードの不要な世界を実現するのが先決であることは、これまでのインターネットの歴史で証明されたと言えるでしょう。そして、ここに来てパスワード不要なログインを実現する技術として注目されているのが FIDO (= Fast IDentity Online, 「ファイド」) です。そしてその FIDO をブラウザから利用できるようにするのが WebAuthn (= Web Authentication、「ウェブオースン」)。報道内容などからこれらは指紋認証を実現するもの、と思っている人もいらっしゃるかもしれませんが、実際にはちょっと違います。 WebAuthn に関しては、すでに数多くの記事が出ていますので
Security + DevOps – DevSec Hardening Framework
Add security to your automation Hardening adds a layer into your automation framework, that configures your operating systems and services. It takes care of difficult settings, compliance guidelines, cryptography recommendations, and secure defaults. What Others Say The team behind dev-sec.io “Hardening Framework” programmed most of the benchmark into InSpec rules that make it easy to “test” compl
ヘッドレスブラウザとSSRF | 技術者ブログ | 三井物産セキュアディレクション株式会社
ヘッドレスブラウザは、サーバ環境などでHTMLをレンダリングするためにバックグラウンドで動作させるブラウザです。 筆者も昨年診断ツールに組み込んだのを契機に使用し始めました。使ってみるとなかなか面白いので、今年は社内での学習用の「やられサイト」にも組み込んでみました。今回はこのやられサイトを題材にして、ヘッドレスブラウザとSSRF(Server-side request forgery)について書きます。 やられサイトの概要 開発したやられサイトは簡単なブックマークサイトです。ユーザがURLを入力すると、そのスクリーンショット画像をヘッドレスブラウザで取得して、ユーザが付けたコメントなどの付加情報とともに保存します。 下図はヘッドレスブラウザに関連する部分の構成です。 図のとおりNode.jsのPuppeteerを使用しており、バックエンドのブラウザエンジンはChromiumです。性能向上
I, newbie � book review: XSS Exploits
結論: XSSの(現時点での)すべてをまとめた良書(ISBN-10: 1597491543)。 あのRSnake氏が書いた本ということでゲットした(死語)。まぁ、よく網羅したというか。基本的に、pentester向けの本なので、それが本職じゃないひとにはやや冗長かもしれない。でも、XSSの仕組みから具体的なexploitの作成、XSSがもたらすconsequenceまでが解説される過程で、攻撃者の豊かな想像力に圧倒され「中途半端な対策は無駄だ」と否が応でも悟らせる。自分は、防御側の方がはるかに困難で、だからこそやりがいもあると感じているひとなのだけど、これを読むとblack hatに(金銭的な側面を別としても)魅力を感じるのもわかる。この本の中で取り上げられているexploitはそのまま防御に役立つというわけではないけれど、攻撃者の思考や方法論を知ることはまったく役に立たないわけではない。
第4回: Unicode 文字列の比較 - 葉っぱ日記
すっかり間があいてしまいました。ごめんなさい。今回のテーマは Unicode 文字列の比較です。 文字列の比較には、プログラミング言語によっては s1 = s2 のように簡単な演算子で比較できる場合もありますし、strcmp や StrComp のような関数を呼び出す必要があるかも知れません。そんななかでも今回取り上げるのは、Windows API の CompareString です。実際には、Unicode 同士の比較ですので、CompareStringW ですね。 さて、CompareString 関数には第2引数 dwCmpFlags で比較の条件をいろいろ変更することができます。一般的によく使われそうなのは、大文字小文字を無視して文字列を比較するためのフラグ NORM_IGNORECASE でしょうか。 実際に、この NORM_IGNORECASE フラグを指定して a-zA-Z
OpenID に対する中間者攻撃のデモ - 日向夏特殊応援部隊
いわゆる man-in-the-middle attack って奴ですが精巧にデモを作った人がいました。 デモサイト 紹介記事 予め言っておきますが、デモサイトはフィッシングのデモなので素人は正しいパスワードは決していれない事。あるいは使わない事。*1 試したけど、idtheft.fun.de と言うドメインは変わらない物の、入力した Identifier に応じた OpenID Provider そっくりの画面が出て来た。myopenid.com, claimid.com で確認しました。 素人さんはこれは気づかないんじゃないのかなー。 ちなみに以前紹介した Sxipper の Firefox 拡張 を使えば見事にフィッシング検出されました(ぉ ちゃんと読んで無いと先に断っておきますが、紹介記事は多分パスワード認証よりCardSpaceみたいのがいいよねって感じを暗に訴えてるように思える
a threadless kite - 糸の切れた凧
ここは、管理人yamagataが方針未定のまま、何となーく思いついたことを思いついたままにだらだらと書き付ける日記帳です。ふんわりほんわかな感じでお願いします。
UTF-7 XSS Cheat Sheet
Countermeasures against XSS with UTF-7 are: Specify charset clearly (HTTP header is recommended) Don't place the text attacker can control before <meta> Specify recognizable charset name by browser. For more information about UTF-7 trick, see "Cross-site scripthing with UTF-7". These XSS patterns are tested on IE6 and IE7. Yosuke HASEGAWA <hasegawa@openmya.hacker.jp> Last modified: 2008-01
画像ファイルによるクロスサイト・スクリプティング(XSS)傾向と対策
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2)。 備忘のため転載いたしますが、この記事は2007年12月6日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり 最近、画像ファイルを用いたクロスサイト・スクリプティングが注目されている。本稿では、画像を悪用したXSSについて説明した後、対策方法について解説する。 画像によるXSSとはどのようなものか Internet Explorer(IE)の特性として、コンテンツの種類を判別する際に、レスポンスヘッダ内のContent-Typeだけでなく、コンテンツの内容も判断基準にしている。このため、Content-Typeが例えばimage/gif(GIF画像)となっていても、中身がHTMLであればHTMLと解釈して表示する。
Adobe Flash & Facebook Platform samples | Adobe Developer Connection
Flash Player’s EOL is coming at the end of 2020. See the roadmap for Flash Player and AIR’s EOL: Adobe Flash Player EOL General Information Page The Future of Adobe AIR You can access the archived documents relevant to Flash Runtime even after the Flash EOL date. We are providing access to the archived documents for all the user/developers community to download. These documents are now no longer u
yohgaki's blog - いろいろ変わったXSSがありますが...
(Last Updated On: 2007年10月12日)私が知らなかっただけかもしれませんが、これにはかなり驚きました。いろんな所で問題が指摘されていますが、ECMAScriptにXML機能を追加したのはどうなんでしょうね…. 確かにかなり便利なのですが以下のコードでスクリプトが実行されることはほとんど知られていないでしょうね。 <script> 123[”+<_>ev</_>+<_>al</_>](”+<_>aler</_>+<_>t</_>+<_>(1)</_>); </script> 好むと好まざる関係なくFirefox 1.5から使えるのでWeb開発者は知っておかなればならないです。 日本語訳 http://www.ne.jp/asahi/nanto/moon/specs/ecma-357.html 原文 http://www.ecma-international.org/pu
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
T-Potについてのおさらい|shumei|note
おうちで出来るセキュリティチャレンジ / cyber security challenge from home
これからのフロントエンドセキュリティ
Site en construction
Amazon.co.jp: The Web Application Hacker's Handbook: Discovering and Exploiting Security Flaws: Stuttard, Dafydd, Pinto, Marcus: 本
http://japan.internet.com/webtech/20070823/11.html