Wiresharkで公衆無線LANのヤバさを確認してみた
私(@honeniq)の個人ブログです。日々の生活の中で感じた諸々のことから、 人さまにお見せできるような上澄み部分を抽出して投稿しています。 前置き ここ数年の携帯キャリアやコンビニ業界の頑張りで、町中に公衆無線LANのAPが溢れていますが、あれって安全なんでしょうか?盗聴される的な観点で。 パスワード無しのノーガードAPは論外としても、 契約者にだけWPAキーを教える((けど、利用者が多すぎて公開しているも同然の))タイプ APにはキー無しで入ることができ、Webアクセスをすると認証ページにリダイレクトするタイプ よく見かけるこの2タイプもやヤバそう。 試してみる前の認識 無線である以上は、自分が飛ばした電波は誰でも傍受できる。じゃあ暗号化して中身が分からないようにしましょう、ってなるけど、1つ目のタイプみたいに不特定多数の人が同じWPAキーを知っている場合、暗号化してもあんまり意味な
発注者のためのWebシステム/Webアプリケーションセキュリティ要件書 | 株式会社トライコーダ
Webシステム/Webアプリケーションセキュリティ要件書 セキュリティ要件書 トライコーダでは、Webサイトの脆弱性を防ぐセキュリティ要件をまとめた仕様書『発注者のためのWebシステム/アプリケーションセキュリティ要件書』を公開していました。 2013年11月1日からは、OWASP の 『セキュリティ要件定義書ワーキンググループ』に『Webシステム/アプリケーションセキュリティ要件書』としてドキュメントを引き継いでいます。 Webアプリケーションのセキュリティ要件は明確 セキュリティ対策に終わりはないと言われていますが、Webアプリケーションにおいては、ここ数年まったく新しい攻撃手法はほとんど発見されていません。つまり、Webアプリケーションを安全に構築するためのセキュリティ要件は明確になっているのです。 今後も新しい攻撃手法が発見されないとは限りませんが、少なくとも現在起きている攻撃の大
警察庁の有識者は torrc.sample も読んでいないのではないだろうか - mura日記 (halfrack)
念のため強調しておきますが、個人の見解なので誤りなど多分に含まれうるものです。ご注意を。 発信元の特定を困難にする匿名化システム「Tor(トーア)」を悪用した犯罪対策を検討していた警察庁の有識者会議は18日、サイト管理者の判断で通信を遮断することが抑止に効果があるとする報告書をまとめた。警察庁は提言を踏まえ、インターネット接続事業者の業界などに自主的な取り組みを促す。 (中略) 具体策として、同システムが経由地に使うパソコンのうち、最後の3台目に割り当てられたIPアドレスの一覧が公開されている点に着目。このIPアドレスからアクセスがあった場合、通信を遮断するようにすれば犯罪抑止に一定の効果があると提言した。 http://mainichi.jp/select/news/20130418k0000e040232000c.html コンテンツサービスプロバイダ(CSP)側で Tor によるアク
「仕様にない情報まで収集?」を防止、Androidアプリ検査サービス
「仕様にない情報まで収集?」を防止、Androidアプリ検査サービス:ネットエージェントが提供、独自開発の「secroid」も活用 ネットエージェントは4月18日、外部に開発を委託したアプリが仕様書通りに作られているか、意図しない動作をしないかどうかを診断する「Androidアプリ個別解析サービス」の提供を開始した。 ネットエージェントは4月18日、外部に開発を委託したアプリが仕様書通りに作られているか、意図しない動作をしないかどうかを診断する「Androidアプリ個別解析サービス」の提供を開始した。発注元が意図していない情報まで収集してしまうようなリスクを事前に検査し、トラブルを未然に防ぐという。 ネットエージェントはこれに先立つ2012年10月に、Androidアプリを検査し、個人情報の流出などのリスクがないかどうかを確認できるサービス「secroid」を公開している。Androidア
twitterに学ぶなりすまし投稿対策
先日もtwitter上の犯行予告により20歳の青年が逮捕されたようですが、なりすましによる誤認逮捕ではなかったのか気になるところです。そこで、twitterが、なりすまし投稿をどの程度対策しているかを調べてみることにしました。twitterの安全性を確認することが目的というよりも、twitterが実施している対策を知ることにより、皆様のWebサイトを安全にする参考にしていただければと思います。 今回調べた「なりすまし投稿」の手法は下記の通りです。 クロスサイト・リクエスト・フォージェリ(CSRF) クロスサイトスクリプティング(XSS) HTTPヘッダーインジェクション クリックジャッキング DNSリバインディング クッキーモンスターバグ このうち、上の5つの解説は拙稿「“誤認逮捕”を防ぐWebセキュリティ強化術」、最後のクッキーモンスターバグについては、過去のエントリ「クッキーモンスター
#wasbook の実習をmacでやる環境を作った - Born Neet
読んだ、めっちゃ良い本。 是非いろんなところで教科書に使うべき。 内容はもちろん、付録のCDで実際に脆弱性を体験できるのも◎。 ただ、残念ながらWindows前提。 実習の為にわざわざWindowsを動かすのも面倒なのでmacでやってみよう、 というのが、今日の話。 VMを動かす 付録CDに入っている仮想マシンはWindowsのVMware Playerでの利用を想定されていますが、 Mac OS X上のVMware Fusion 3.1.2でも動作することを確認しています。(P.11) とのことなので、これは問題ないはずです。 やってみます。 ダウンロード VMware Fusionのサイトから30日無償評価版をダウンロード可能です。 メールアドレス登録要。 ※ 買う場合はサポートレスライセンスってやつが安いらしいです。(僕も検討中です。) インストール 登録したアドレスに送られてくるメ
第55回 「Webアプリケーション調達時の情報システムセキュリティ要求仕様について教えてください」 : [日立]自治体ICT 応援サイト
Q.地方自治情報センター(LASDEC)が「地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション)」を公開しました。この背景を教えてください。 はい。近年、電子申請や施設予約システムなど、自治体のシステムではWebアプリケーションが多く採用されています。一方で、Webアプリケーションの脆弱性を狙ったサイバー攻撃なども発生しています。そのため、システム調達時には機能要件だけでなくセキュリティ要件も仕様書に盛り込んでおく必要があります。さらに、納品後に脆弱性が発見された場合の対策や役割分担も、あらかじめ明確にしておくことが大切です。 しかし、このような「非機能要件」を具体的かつ体系的に仕様書に記述することは、容易ではありません。そこで、安全なシステム運用に必要な要求仕様事項をまとめた「特記仕様書」のサンプルが公開されたのです。 「地方公共団体における情報シス
「クロスサイトスクリプティング対策」でGoogle検索して上位15記事を検証した
昨年の11月にブログエントリ『「SQLインジェクション対策」でGoogle検索して上位15記事を検証した』という記事を書いたところ、非常に好評で、「次はXSSについて書いてください」という要望をいただいておりました。中々XSSについては手がついておりませんでしたが、ようやく書いてみました。以下のURLで検索した結果の上位15位の記事を検証しました。 http://www.google.co.jp/search?q=クロスサイトスクリプティング対策&pws=0 検索結果は変動するため、私が検索した際の結果をEvernoteの公開ノートとして記録しています。 1~10位 11~20位 記事の「正しさ」の検証基準としては、IPAの「安全なウェブサイトの作り方改訂第5版」を参考に、最低限として以下が記述されているかどうかを確認しました。 HTMLのエスケープ処理を行う 属性値はダブルクォートで囲む
Firefox4やIE9で搭載された「Do Not Track」オプションとは何か? - Web Analytics Latte
Firefox4から、「環境設定>詳細」の中にひとつ、チェックボックスが増えました。「トラッキングの拒否をWebサイトに通知する」 とあります。これは広告業界やアクセス解析屋の間で半年くらい前からじわじわ話題になっていた「Do Not Track」という新機能です。 チェックをONにすると、以下のように、ブラウザのリクエストヘッダに「DNT」というパラメータが追加されいています。 ↓ これは何か? オンライン広告では、「リターゲティング」や「リマーケティング」と言った名称で、一度広告を見たユーザ(=ブラウザ)に対してより効果のある訴求ができるようにトラッキングするのが一般的になっています。たとえば、赤い車のバナー広告をクリックした人には、他のページでも赤い車を表示してみたり(クリックしていないユーザには青い車を出したり)、という使い方ができますし、コンバージョンしたユーザが初回アクセスなの
「安全なWebアプリケーションの作り方」を読んでセッションを復習してみた - As a Futurist...
タイトルが長くて略称があれば知りたい感じの「安全な Web アプリケーションの作り方」を暇を見つけて読んでいます。今まであいまいなままだった部分を順を追って説明してくれるので、本当に助かります。Web アプリ作りの初心者は卒業したかなーという人は必ず目を通しておくと良いと思います。 Cookie を用いたセッションについて復習 「HTTP はステートレスで」とかいう話はよく聞きますが、じゃあどうやってセッション管理するのがいいの?って話をよく考えると体系的に聞いたことがなかった!というわけで、この本で文字通り体系的に学び直すことができました。 その中でも、「セッション ID の固定化」という話題はちゃんと分かってなかった部分があったので、こちらのサイトを参考に PSGI なアプリケーションを作ってみました(僕の書いたアプリ自体はその他の脆弱性に溢れていますがw)。コードはエントリの最後に。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://japan.internet.com/webtech/20130207/2.html