はてなブックマーク

世の中にはたくさんのペンテスト・脆弱性診断ツールがありますが、全ての現場で利用されていたツールが２つだけあります。 「Nmap」と「Burp Suite」です。今回は「Nmap」の方にフォーカスを当てて解説していきたいと思います。 「Nmap」のイメージは一般のハッキングのイメージに非常にマッチしているため、マトリックスやダイ・ハード4.0などの映画のシーンにも利用されています。ただNampを利用する人でしっかり仕組みを理解している人は少数派です。なんとなくポートスキャンをするツールがこれほど世界的に利用されるツールになる訳がありません。 皆さんは「FTPバウンス攻撃を再現するオプション」「IPv6でスキャンすオプション」はご存知でしょうか。 Nmapでは実に多様な環境でネットワーク・プラットフォームの診断、ペンテストを行う機能を有しています。 また、NmapはNetwork Mapper

情報を共有して便利なサービスを提供したいという想いがオリジン間リソース共有 (CORS)を産んだ 現在のWebブラウザでは、標準で同一生成元ポリシーという情報の悪用の防止策が適用されています。同一生成元ポリシーはオリジン つまりスキーム(http://,https://など)、ホスト(sample.com)、ポート(80,443)の組み合わせが全て一緒でないと情報は共有しませんというポリシーのことです。(詳しくはRFC6454をご覧ください)セキュリティに偏った観点からは素晴らしいポリシーですが、サービスを作る側としては外部のサービスやコンテンツの連携をしようにも他社のサービスのオリジンは当然異なるので利用できません。セキュリティの侵害による被害もありますが、ダメ絶対としてしまうとWebの世界の発展を阻害するという被害の方が大きくなってしまいます。そこで異なるオリジンのサーバーにある選択さ

なぜWebサービスにCookieを利用するのか Cookie は、アクセス者についての情報を「状態」として保持するために、Web サイトによってユーザーのパソコンに保存されるファイルです。(RFC6265:HTTP State Management Mechanism) HTTPの通信にはそもそも「状態」という概念がありません。ウェブサービスのアクセスはサーバから見ればどこから飛んできたか判断する為の情報がないため、 情報を要求しているのが「誰か」判断ができません。万人向けの情報ならそれで問題ないでしょうが、お客様から預かった個人情報や料金を頂いたお客様へのコンテンツを誰と構わず配信するわけにはいきません。そこでNetscape社が開発したCookieの技術でブラウザにサービスごとの「状態」をブラウザ側に記憶することが一般的になりました。 セッション管理を行うCookieは入館証をイメージ