CSRF, HTML Form Protocol Attack, Cross-protocol scripting attackについて
最近マスタリングTCP/IP SSL/TLS編や暗号技術入門を読んでいた.理解を深めるためにGo言語で標準のcryptoパッケージを触り/実装を読みながら読んだ. cryptoパッケージは他の標準パッケージと同様に素晴らしい.Go言語にはどのような暗号化手法が実装されているのか実例を含めてざっとまとめる.なお本文に書ききれなかったものを含め全ての実装例はtcnksm/go-cryptoにある. 共通鍵暗号 まずは共通鍵暗号をみる.共通鍵暗号は暗号化と復号化に同じ鍵を用いる暗号化方式である.共通鍵暗号はブロック暗号とストリーム暗号の2種類に分けることができる.ブロック暗号は特定の長さ単位で暗号化を行う方式であり,ストリーム暗号はデータの流れを順次処理していく方式である. Go言語にはブロック暗号としてDES(Data Encryption Standard),DESを繰り返すtriple-D
攻撃を「隠す」、攻撃から「隠れる」 と称して発表します。すみだセキュリティ勉強会の主催のozuma5119です。 1 すみだセキュリティ勉強会を主催しています、ozuma5119と申します。 ふだんは、比較的固めの会社でセキュリティエンジニアをしています。ブログはこち ら。 http://d.hatena.ne.jp/ozuma/ 科学写真家というのは、「理科の教科書に載ってるような写真」を撮る人たちです。 こちらは副業ということで、小学生向けの教材の写真とか撮って、ときどき本に載っ たりします。 2 Agendaですが、まず、今回はポートスキャンとnmapに絞って話をします。 「隠す」と一口に言っても、ファイルの見えない領域に隠すとか、パケットやプロトコ ルのいろんな「隙間」に隠すとか、暗号化で機密情報を隠すとか深堀りすると色々あ るのですが……キリが無いので思い切り限定することにしち
※この記事はあくまでも自分のプライバシーを泥棒に奪われないようにするためのものです 現時点では安心と思いますが、時代の進歩や人間のセキュリティをつかれて無意味になる場合があります。 〜朝7時〜 ピンポーン 女性「○○さーん?」 ガバッ ぼく「おなごやんけ!早くでなきゃ(使命感)」 ガチャ いかつい男(手に黒い手帳)「○○警察でーす」 ダダダダダダダダダダ 突然大勢の大人たちが我が家におしかけてきた その数 総勢20名 僕は呆然と立ち尽くした そしてショックを受けた これからガサ入れが行われること、 そして、昨日の夜 床オナをしてそのまま寝たため、カピカピとなったパンツを履いたまま数日過ごさないといけない事を知って。 ※この物語はフィクションです ぼくのかんがえたさいきょうのせきゅりてぃかんきょう さてみなさん、悪いことしていますか?僕はしていません。 ガサ入れというのは
TL;DR The Admin framework in Apple OS X contains a hidden backdoor API to root privileges. It’s been there for several years (at least since 2011), I found it in October 2014 and it can be exploited to escalate privileges to root from any user account in the system. The intention was probably to serve the “System Preferences” app and systemsetup (command-line tool), but any user process can use th
※この記事は本社サイト 「Naked Security」掲載の記事を翻訳したものです※ by Paul Ducklin on November 20, 2013 この記事に関する最新の更新情報は Naked Security 掲載記事をご確認ください。 読者の方は、Adobe 社で 2013 年 10 月に発生したデータ侵害のインシデントについてはご存じでしょう。 これは、1 億 5 千万件のレコードが漏えいした史上最大級のユーザー情報データベースに関するインシデントであるだけではありません。今回のインシデントから別の問題も見えてきました。 漏えいしたデータから、Adobe 社がユーザーのパスワードを不適切な方法で保管していたことが明らかになりました。同社の利用した方法よりも格段に安全でパスワードを保管する方法はあります。またそれが、決して難しくないことを考えると、セキュリティの観点からす
「パスワードはハッシュで保存すれば安全」と思われていますが、本当にそれだけで大丈夫なのでしょうか? この記事では、パスワードを安全に守るソルトやストレッチングといった手法について解説します(編集部) (3/4)
2. 自己紹介 大学時代 京都大学数理解析研究所では代数幾何 コンピュータとは縁のない世界 暗号にも興味を持つ mp3エンコーダ「午後のこ~だ」の開発(LGPL2) 就職後 IPAからの依頼で暗号解読プログラムの作成(2004年) 『機械学習の学習』(CCA-BY3) 2012年ジュンク堂のコンピュータ書籍売り上げ3位 http://compbook.g.hatena.ne.jp/compbook/20130110 暗号の高速な実装(2013/8の時点で世界最速) The Realm of the Pairings(SAC2013) http://sac2013.irmacs.sfu.ca/sched.html 2013/11 2 /58 3. 目次 暗号 mod pの世界 巾乗の計算 離散対数問題 ElGamal暗号
以下は、財団法人学習ソフトウェア情報研究センター発行の「学習情報研究誌 2008年 1月号」に執筆したものを、許可を得て転載したものです。タイトルは特集「インターネット社会のセキュリティ」の一部としてあらかじめ与えられた「インターネットにおけるセキュリティ対策」というものでしたが、ここでは内容的に即して「インターネットのセキュリティに対する正しい認識」と改題しておきます。 PDF版はこちらをどうぞ。 インターネットのセキュリティに対する正しい認識 鈴木常彦 Tsunehiko Suzuki 中京大学情報理工学部(豊田市貝津町床立101, tss@sist.chukyo-u.ac.jp) 要約 インターネットが何であるか定義できるだろうか。インターネットに安全,安心を求めてはいけない。今日のインターネット社会は砂上の楼閣である。本論ではインターネットがいかに信用できないものであるかを,その基
先日、非常に珍しい、GPSつかったチャットの脆弱性を発見したので、ここに注意もかねて書いておく。 簡単に言うと、WebSocketに生で自分でGPS座標を送り、相手との距離差を何度でも取得できる脆弱性で、離れてる、近いくらいしか分からないことを前提にGPS使用を許可してる時に〜町にいる、とわかってしまうという、聞いたことない感じの珍しい脆弱性である。websocketでイベント駆動にしてるとついうっかりステート管理があやふやになりがちである。 さて、下記は脆弱性の存在したchatpad.jpのサポートに送ったメールである。 Subject: GPSを使用した機能に関する脆弱性について 初めまして。いつも楽しくChatPad使わせて頂いております。 件名の通り、GPSに関する脆弱性を発見しました。これは相手の住所が相手の意図に反し 高精度(最大で市町村程度まで)特定できてしまうというもので、
このエントリでは、数値型の列に対するSQLインジェクションについて説明します。 以前のエントリで、たにぐちまことさんの書かれた『よくわかるPHPの教科書』の脆弱性について指摘しました。その際に、『私が見た範囲ではSQLインジェクション脆弱性はありませんでした』と書きましたが、その後PHPカンファレンス2011の講演準備をしている際に、同書を見ていてSQLインジェクション脆弱性があることに気がつきました。 脆弱性の説明 問題の箇所は同書P272のdelete.phpです。要点のみを示します。 $id = $_REQUEST['id']; // $id : 投稿ID $sql = sprintf('SELECT * FROM posts WHERE id=%d', mysql_real_escape_string($id) $record = mysql_query($sql) or die(
先にエントリ「セッションアダプションがなくてもセッションフィクセイション攻撃は可能」に対して、大垣(@yohgaki)さんから、「セッションフィクセイションはアダプション脆弱性修正で防御可能」というブログエントリで反論をいただきました。 大垣さんのエントリは長いのですが、反論のポイントは、以下の2点だと思いました。 徳丸のPoC(概念実証コード)では、セッションDBが分かれていないが、現実のレンタルサーバー等はセッションDBが分かれているので、攻撃はできないセッションには有効期間があり、セッションアダプションがない場合は、有効期間の過ぎたセッションIDが送信されても、セッションIDは再生成される。だから攻撃はできない以下、上記に反論します。 セッションDBは元々関係ないセッションフィクセイション攻撃において、セッションを扱うのは、攻撃対象のサーバーだけです。大垣さんは、セッションフィクセイ
大垣(@yohgaki)さんと、セッションアダプション脆弱性が「重大な脅威」か否かで論争を続けています。 大垣さん:第25回 PHPのアキレス腱 ── セッション管理徳丸:PHPのSession Adoptionは重大な脅威ではない大垣さん:PHPのセッションアダプション脆弱性は修正して当然の脆弱性議論がかみ合わないので、twitterで「ブログ読みました。サンプルも動かしました。問題は分かるのですが、セッションアダプションがないPHPだと、何が改善されるのかが分かりません。教えて下さい」とツイートしたところ、大垣さんがブログで返信下さいました。 大垣さん: セッションアダプション脆弱性がないセッション管理が必要な理由これを読んでかみ合わない理由が分かりました。大垣さん、ありがとうございます。以下大垣さんのブログの末尾を引用します。 脱線しましたが、何が改善されるのか?結論は ログイン時に
JVN というサイトがありまして。大体の人は知っているだろうし見れば判るので説明は割愛。んで、報告された脆弱性情報をその作者に連絡してくれたりしてくれるんですが、連絡が付かない開発者が居る > 脆弱性が修正されない > みんな困る というコンボにはまってる案件が数多くあるわけです。 それが 連絡不能開発者一覧 というやつなんですが、素晴らしい仕事だと思うんですけれども「俺が欲しいのは開発者の名前じゃなくて製品の名前なんだよ…っ」と全く身勝手に思いまして、製品名抜き出してリストにしました。以下が今日時点のものです。つまり全部脆弱性があって治る見込みが立っていない。 (SS)C-BOARD 2chブラウザ対応掲示板 AL-Mail32 Access log 解析スクリプト Affelio ArsenoL BBS X102 BGA32.DLL C Cod Cacti ClamWin Free A
Table 1. Browser measurements included in Panopticlick Fingerprints ........................ ........................ これが本題 5 How Stable are Browser Fingerprints? 5.1 Changing Fingerprints as a Function of Time Among our userbase, rates of fingerprint change for returning cookie-accepting users were very high, with 37.4% of users who visited the site more than once exhibiting more than one fingerp
2. 本日お話しする内容 • 鉄則1: PHP自体の脆弱性対処をしよう • 鉄則2: Ajaxの脆弱性対処をしよう • 鉄則3: 競合条件の脆弱性対処をしよう • 鉄則4: htmlspecialcharsの使い方2012 • 鉄則5: escapashellcmdは使わないこと • 鉄則6: SQLインジェクションの対処 • 鉄則7: クロスサイト・スクリプティングの対処 • 鉄則8: クロスサイト・リクエスト・フォージェリの対処 • 鉄則9: パスワードの保存はソルトつきハッシュ、できればスト レッチングも • 鉄則10: 他にもたくさんある脆弱性の対処 Copyright © 2012 HASH Consulting Corp. 2 3. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く