高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由
水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。 これを、Webアプリという実装手法を選択する場合に特化すると、図2のような遷移図が描ける。 実線矢印はブラウザが送信するHTTPのrequest(ヘッダおよび、POSTの場合はボディを含む)を表し、黄色の丸がサーバ側での1アクセスの処理を表し、点線がその処理結果を返すHTTPのresponse(ヘッダおよび、HTML)を表す。responseの上の文はHTMLの内容を説明するものである。黄色の丸の中の文は処理内容の説明であり、ここから複数のresponse矢印が出ている場合、処理の結果によって遷移先の画面が異なる場合であることを表し、破線の白抜き四角がその分岐の条件を概説している。 この図で例に用いているのは、ECサイトやblogサービスなどに見られる典型的な「登録個人情報変更」の機能である。「メインメニュー」画面の「登録情報変更
Part3 クロスサイト・リクエスト・フォージェリの手口
Part3では,ログイン中のエンドユーザーのパソコンをスクリプトで操る「クロスサイト・リクエスト・フォージェリ」という手口が,いったいどんな攻撃か,細かく見てみよう。 クラッカが正規ユーザーの意図に反してWebアプリを勝手に操作する攻撃がある。Webサイトはユーザーを,IDとパスワードの組や,セッションIDと呼ぶ情報で識別している。クラッカがWebアプリを勝手に操作するには,ユーザーのIDとパスワードやセッションIDを盗む必要があると思うかもしれないが,それは間違い。これらを盗まなくても,ログイン中のエンドユーザーのパソコンをスクリプトで操る「クロスサイト・リクエスト・フォージェリ」という手口を使えば,会員を偽って不正アクセスができる。 クロスサイト・リクエスト・フォージェリによる攻撃は,会員制サイト「mixi(ミクシィ)」で実際に発生した。書き込まれた内容が他愛もないもので,mixiの対
Remembrance - Radium Software
Giới thiệu website Bóng đá Socolive TV - Trang web xem bóng đá trực tiếp 24/7 HD không có quảng cáo, chất lượng tốt nhất trên thị trường. Với hàng ngàn giải đấu bóng đá trong nước và quốc tế, Socolive TV cung cấp dịch vụ xem trực tiếp 24/7 với chất lượng HD siêu mượt. Với hàng trăm bình luận viên và phòng chat sôi động, người hâm mộ bóng đá sẽ có những trải nghiệm thú vị nhất. Giới thiệu những nét
Fail-Safe C: Top Page
Fail-Safe C は、メモリ安全性を保証する ANSI C 言語のフルスペックの実装です。 ANSI C 言語の仕様で定められた全てのメモリ操作(キャストや共用体を含む)に対し その安全性を保証し、全ての危険なメモリアクセスを事前に検知し防止します。 Fail-Safe C では、コンパイル時や実行時の様々な最適化手法を組み合わせる ことで、実行時検査のオーバーヘッドの削減を行っています。このコンパイラ を用いることでプログラマは、既存のプログラムを大幅に書き換えたり別の言 語に移植したりすることなく、そのままプログラムを安全に実行することがで きます。 詳細については次の文献もごらん下さい。 Yutaka Oiwa. Implementation of the Memory-safe Full ANSI-C Compiler. ACM SIGPLAN Conference on P
Hack This Site! 攻略(Basic Web編)
--- Hack This Site! 攻略(Basic Web編) --- ■0x01.) はじめに 前々から、WBで一度、初心者のための解説記事を書きたいと思っていたのです が、なかなか書く機会がありませんでした。また、前々から、ハッキングゲーム の攻略ネタを書きたいと思っていたのですが、これもなかなか書く機会がなく困 っていました。そんなこんなで、この2つの悩みを同時に解決してくれる今回の内 容は「初心者のためのハッキング入門」です(なんだこれ?)。実はタイトルは すごい悩んだのですが、思い切って、とことん思い切ったものにしました(^^;。 というわけで、今回はハッキングゲーム「Hack This Site!」の攻略をやってい くことにします。 「Hack This Site!」http://www.hackthissite.org/ 「ユーザー登録ページ」http://www.ha
http://ruffnex.oc.to/kenji/xrea/md5crypt.txt
[ crypt() アルゴリズム解析 (MD5バージョン) ] 動作確認はすべて Linux + gcc で行っています。 >> [ 0x01 ] crypt() MD5バージョン とは? 例えば以下のプログラムを実行してみる。 crypt.pl ------------------------------------------------------------------------------ #!/usr/bin/perl $str = crypt($ARGV[0], '$1$'.$ARGV[1].'$'); print $str . "\n"; ------------------------------------------------------------------------------ [kenji@localhost md5]$ chmod 755 crypt.
MD5のハッシュ値データベースなんぞがあるらしい。 - NullPointer's
なんとも迷惑極まりないデータベースがあったもんだ。 http://en.yummy.stripper.jp/?eid=719489 http://md5.rednoize.com/ これは厳密には復号とは言わないと思うけど、任意のMD5ハッシュ値を発生させる元データが取得できるので十分脅威的ですね。弱衝突耐性が突破されるってことか。 パスワードのハッシュ値でパスワード検証している場合は、ハッシュ値の流出が事実上パスワードの流出になってしまうわけで。つまりデータベースにハッシュを保存するならば、パスワードに秘密の文字列を結合するとか、パスワードをビット反転するとか、パスワードに何らかのスクランブルをかけてからハッシュ化しないとダメっぽい。 ま、セキュリティにうっさい案件では普通にやってると思うけど。 追記: 有識者によると、もはやMD5は時代遅れなのでSHA512などのハッシュ関数を使った方
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.trinity-ss.com/products/ipn_w100.html