Cookieによるhashdos攻撃と対策
このエントリでは、Cookieを用いたhashdos攻撃の可能性について検討し、実証結果と対策について報告します。 はじめに既に当ブログで報告の通り、hashdosと呼ばれる攻撃手法が公表されています。HTTPリクエストのパラメータ名に対するハッシュ値を故意に同一にした(衝突させた)ものを多数(数万程度)送信することにより、Webサーバーを数分程度過負荷にできるというDoS攻撃手法です。 先の記事でも説明しているようにPOSTパラメータ(HTTPリクエストボディ)に多数のパラメータを仕込む攻撃が典型的ですが、POSTパラメータ以外のパラメータを用いた攻撃についても検討しておかないと、防御漏れの可能性が生じます。 そこで、POSTパラメータ以外を用いた攻撃方法について検討します。 POST以外に多数のパラメータを仕込めるかPOST以外に多数のパラメータを仕込む場所があるでしょうか。候補となる
携帯Webのクッキー利用について調べてみたメモ【update】
携帯でクッキーがどれぐらい使えるか調べたメモ。 ■3キャリア+スマートホン(PC)対応クッキー記述 クッキーのドメイン、パス指定に何も記述しなければ完全一致として扱われるのでこれであればそのままクッキーの読み書きは可能です。 しかし一定規模のシステムであれば、クッキーのスコープを広く取りたいケースの方が多いと思います。 サブドメイン、複数のAレコードによるWebサーバが存在する場合に、3キャリア共通に使えるようにするクッキーのドメイン指定は、「.」から始まるドメインを指定することで可能です。 例: Set-Cookie: testcookie=thankyoumovatwi; path=/; domain=.movatwi.jp この辺、ハマリ所なのでウノウラボの記事もご参考ください。(なんとドメインが.jpと.inで挙動が違うらしいという、、) 携帯とCookieドメイン ■携帯電話でク
Cookieセッション、BASIC認証マジパネー - komagataのブログ
Rails検証報告書: プログラマの思索 Railsで特徴的なのは、CookieでHTTP セッションを管理できることだろう。 ここの仕組みが非常に分かりやすい。 Railsの後から付いた機能で一番素敵だと思うのがこの機能です。 「Cookieなんて仕様上は4KBしか保存出来ないんだから寧ろ弱体化してね?」 とか認識されることが多い気がしてならない。 コレ、導入時にも度肝を抜かれて、以降常に、 「ハンパねー、マジCookieセッションハンパねー!」 と脳内のアフロの人が言ってるんですが、大した利点に感じる人は少ないのか、他の言語やWAFで全面採用している例を見たことが無い。 そもそもセッションという言葉自体が複数の処理をまとめた単位という広義の意味とWebアプリケーションで複数リクエストにまたがってサーバー側に保存されるデータという狭義の意味が混在して使われているという事情があってWeb上
第25回 PHPのアキレス腱 ── セッション管理 | gihyo.jp
PHPにはHTTPセッション管理モジュールが標準で付いてきます。このセッションモジュールには非常に重大なセキュリティ上の脆弱性が修正されずに残っています。その脆弱性とはセッションアダプションです。 セッションアダプションとは、セッション固定化攻撃に利用される脆弱性です。PHPのセッション管理モジュールがセッションアダプションに脆弱であることは、かなり以前、何年も前から知られています。しかし、開発者の理解不足より脆弱性が放置されたままになっています。 セッションアダプションとは セッションアダプションとは、ブラウザ等から送信された未初期化セッションIDをそのまま利用してセッションを初期化してしまう脆弱性です。ユーザが送信してきたIDでも第三者に予想できない文字列であれば大丈夫なのでは?と考える方もいると思います。その通りで第三者に予想できなければ問題ないですし、仮に予想できてもログインする際
発掘! Webの“あるある”問題点-ステートの常識
Webブラウザの“あるある”問題点 さて、読者の皆さんはWebアプリケーションを作る際に、Webブラウザの仕組みに起因する下記のような問題点を、どうやって解決するかを考えながらプログラミングをしていますでしょうか? [戻る]ボタン ログインからログアウトまでの手順があるWebサイトで、ログアウトした後に[戻る]ボタン([Alt]+[Left]キー)を押すと、前に入力した値がそのまま表示されてしまう サブミット2度押し Webアプリケーションのサブミットボタンの複数回押下や完了画面の再読み込みなど更新処理で2度押しが発生した場合に、処理が2回実行されてしまう [F5]キー([更新]ボタン)連打 [F5]キーを連打することで、Webサーバに対して大量のリクエストを送ることができる。複数の人間が時間などを申し合わせて一斉に「F5の連打」を行うと、サーバはもちろんのこと回線、通信機器に過剰な負荷が
第3回 Cookie---状態管理とトラッキング
この記事は,日経ソフトウエア2007年2月号,連載「簡単実装で学ぶWeb技術2006」の第8回「Cookie――状態管理とトラッキング」の再録です。記事は執筆時の情報に基づいており,現在では異なる場合があります。 こんにちは,結城浩です。 今回は,Webで状態を管理する際の基本技術である「Cookie(クッキー)」を紹介します。サンプル・プログラムを通してCookieの仕組みを学びましょう。サンプル・プログラムは,Cookieの読み書きを試す簡単なものから,ユーザーのアクセス追跡やログイン状態の管理などの機能を備えた実用的なものまでを紹介します。 ここで紹介するサンプル・プログラムは,日経ソフトウエアのWebサイトからダウンロードできます。ダウンロード・ページ中で,2007年2月号の「簡単実装で学ぶWeb技術2006 第8回」を参照してください。 ●日経ソフトウエア2007年2月号のダウン
[セキュリティ]httponlyは普及するのか (2006-12-26 - T.Teradaの日記)
Firefox2でもhttponlyが使えるという話を耳にしました。 httpOnly - Firefox Add-ons*1 httponlyがいよいよ普及するか? というのでネタにしてみます。 なお、この日記は、WinXP+IE6SP2環境を前提として書きました。 はじめに httponlyは、XSS脆弱性がある状況においても、cookieを窃取されないようにすることを狙ったIEの独自機能です。 MSDN - Mitigating Cross-site Scripting With HTTP-only Cookies この機能を有効にするためには、発行するcookieにhttponly属性を付けます。 Set-Cookie: key=value; domain=example.com; HttpOnly httponly属性が付けられたcookieは、JavaScriptのdocume
![[セキュリティ]httponlyは普及するのか (2006-12-26 - T.Teradaの日記)](https://cdn-ak-scissors.b.st-hatena.com/image/square/e8a0aea5d375a69b5b38062b6dbabb4cf556055e/height=288;version=1;width=512/https%3A%2F%2Fogimage.blog.st-hatena.com%2F10257846132711010800%2F10257846132711097230%2F1548045809)
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ライブドアブログ|無料で豊富な機能が充実