Cookieによるhashdos攻撃と対策
このエントリでは、Cookieを用いたhashdos攻撃の可能性について検討し、実証結果と対策について報告します。 はじめに既に当ブログで報告の通り、hashdosと呼ばれる攻撃手法が公表されています。HTTPリクエストのパラメータ名に対するハッシュ値を故意に同一にした(衝突させた)ものを多数(数万程度)送信することにより、Webサーバーを数分程度過負荷にできるというDoS攻撃手法です。 先の記事でも説明しているようにPOSTパラメータ(HTTPリクエストボディ)に多数のパラメータを仕込む攻撃が典型的ですが、POSTパラメータ以外のパラメータを用いた攻撃についても検討しておかないと、防御漏れの可能性が生じます。 そこで、POSTパラメータ以外を用いた攻撃方法について検討します。 POST以外に多数のパラメータを仕込めるかPOST以外に多数のパラメータを仕込む場所があるでしょうか。候補となる
Apache のみで Cookie によるアクセス制御をかける - WebOS Goodies
WebOS Goodies へようこそ! WebOS はインターネットの未来形。あらゆる Web サイトが繋がり、共有し、協力して創り上げる、ひとつの巨大な情報システムです。そこでは、あらゆる情報がネットワーク上に蓄積され、我々はいつでも、どこからでも、多彩なデバイスを使ってそれらにアクセスできます。 WebOS Goodies は、さまざまな情報提供やツール開発を通して、そんな世界の実現に少しでも貢献するべく活動していきます。 自分専用のサーバーに Apache をインストールする目的のひとつに、自分専用の Web サイトを構築したい、というのがあるのではないでしょうか。最近は XOOPS や TikiWiki、各種 blog など、個人でも手軽に使える CMS が多く開発されていますので、簡単に自分専用のポータルサイトを構築できます。また、よく使う資料などをどこからでもアクセスできるよ
wget や ab(apache bench) で Cookie を指定し POST する方法 - higepon blog
Content-Type は環境に応じて変えてください。 wget % wget --post-data 'hoge=hige&hage=huga' \ --header 'Cookie: SESSIONID=abc; hige=pon;' \ --header 'Content-Type:application/json' http://example.com/hige.json ab % ab -n 2 -c 2 -p ~/postdata.file -T 'application/json'\ -C 'SESSIONID=abc'\ -C 'hige=pon' http://example.com/hige.json
HTML5の登場でエバークッキーが蔓延 - huixingの日記
HTML5の登場でいろいろ出来ることが増えてきたが逆に不都合な点も出てきた。それがエバークッキーevercookieと呼ばれるクッキーで、コンピュータの奥深くクッキーを残し、マーケッターや広告主などにウェブユーザーのオンライン・アクティビティーをより細かく知らせてしまう。クッキーをHTML5のローカルデータベースに保存する方法で、より大量のデータがハードディスクに収集され、マーケッターなどに時には数ヶ月に渡る、場所、時間帯、写真、ブログ文章やショッピングカートの中身などの個人情報を知らせることができてしまうようになったからだ。evercookieは2005年にマイスペースをダウンさせたウイルスであるSamy Wormを創りだしたカリフォルニアのプログラマーのサミー・カムカルSamy Kamkarの考案によるもので、フラッシュ・クッキーやシルバーライト・クッキーや3種の異なるHTML5のロー
Flash Cookie -- オンラインプライバシーの新しい問題を探る - builder by ZDNet Japan
ウェブサイトの運営者や広告主は、HTTPのクッキーに依存するのを好まない。ユーザーがクッキーの避け方を知ってしまっているためだ。Bruce Schneiner氏によれば、最近のウェブサイト開発者は別の方法を使っているという。これも一種のクッキーと言えるが、別のものだ。 よりよいクッキー、LSO Flashクッキーとも呼ばれるローカル共有オブジェクト(LSO)は、HTTPのクッキーと同様に、ユーザーに関する情報を保存し、インターネット上での動きを追跡する手段を与えてくれるものだ。私は、他にも次のようなことを学んだ。 Flashクッキーには、ずっと大きなデータを蓄えることができ、100Kバイトまで保持できる。標準的なHTTPクッキーは、4Kバイトしか保持できない。 Flashクッキーには、デフォルトでは有効期限はない。 Flashクッキーは異なる場所に保存されており、見つけるのが難しくなってい
IE 6のプライバシ管理機能(1/12) - @IT
2001年8月末、マイクロソフトは、Webブラウザの最新版であるInternet Explorer 6(以下IE 6)のダウンロード・サービスを開始した(マイクロソフトのIE 6のダウンロード・ページ)。これをダウンロードしてWindows OS(Windows 98/98 SE/Windows Me/Windows NT 4.0+Service Pack 6a/Windows 2000)にインストールすることで、最新のWebブラウジング環境を手に入れることができる。なお日本で11月16日よりパッケージ販売が予定されているWindows OSの最新版、Windows XPには、IE 6があらかじめ組み込まれている(米国版Windows XPは10月25日より発売開始)。 本フォーラムでは、このIE 6について、最終版前のPublic Preview版をベースに紹介記事を掲載した(「Inte
第1回 まずは「クッキー」を理解すべし
Webアプリケーションのぜい弱性がなかなかなくならない。メディアなどでも盛んに取り上げられているにもかかわらず,である。特に,セッション管理がからむアプリケーションのぜい弱性には,気付かないことが多い。具体的には「クロスサイト・リクエスト・フォージェリ」(CSRF),「セッション・フィクセーション」などである。これらはクロスサイト・スクリプティング,SQLインジェクションといった比較的メジャーなぜい弱性に比べて認知度が低く,対策も進んでいない。 原因の一つは,アプリケーションの開発者が原因を正しく理解していないこと。CSRFやセッション・フィクセーションについて言えば,セッション管理に使うクッキー(cookie)の動作を理解していないと対策が難しい。ところが最近の開発環境では,セッション管理の仕組みが隠ぺいされているため,必ずしもこの知識は要求されない。こうした開発者は容易にはぜい弱性に気
忍者 TOOLS の悪行 : にぽたん研究所
忍者 TOOLS という、無料アクセス解析ツールを提供するサービス (よく shinobi.jp と書いてある手裏剣マークの小さいバナーが出るやつ) があるけど、アレってちょっとヒドいかも。。。 というのは、忍者 TOOLS で読み込まれる JavaScript が、ブラウザのバグを使用しているっぽくて、サードパーティの Cookie のクセに、何やらうまい具合に「忍者 TOOLS を設置しているサイトのドメイン以下」で勝手に長めの Cookie を送りつけている模様 (js から)。 一個の Cookie を吐くのなら別にまだ許されそうだけど、例えば livedoor Blog で忍者 TOOLS を設置している人の Blog を沢山見たりすると、雪ダルマ式に Cookie が増えていく…。 ふと気づくと、軽く 1KB ぐらいになっていたりする。 んで問題となるのは、Cookie の仕様
PLAB
9月27日、JTB宮崎さんを通じて宮崎の宮崎第一中学校のみなさんにオンラインでワークショップを行いました。昨年に続く2年連続の実施で、今回は「あたりまえをあたらしくするワーク」を実施しました。 繋いでいただいたJTB宮崎のみなさん、そして宮崎第一中学校のみなさん、ありがとうございました。修学旅行後もワークを予定しているので、再会を楽しみにしています!
mod_proxy_balancerとSet-CookieヘッダのPath属性 - Do You PHP はてブロ
ちょっと調べてみたら、書き換えるためのディレクティブが用意されてました。同様にProxyPassReverseCookieDomainディレクティブもあります。 ProxyPassReverseCookiePath ディレクティブ 使用法は基本的に ProxyPassReverse と同じですが、ヘッダの URL の代わりに Set-Cookie ヘッダの path 文字列を書き換えます。 たとえば、 フロント:Apache2.2(mod_proxy+mod_proxy_http+mod_proxy_balancer) バックエンド:Apache2.2(PHP) のような構成でバランシングしている場合で、バランシングの設定が LoadModule proxy_module modules/mod_proxy.so LoadModule proxy_http_module modules/m
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
CookieのDomain属性は *指定しない* が一番安全 - ockeghem(徳丸浩)の日記
GitHub - carhartl/jquery-cookie: No longer maintained, superseded by JS Cookie: