学習のためレインボーテーブル(小)を作ってみる - WEB系情報セキュリティ学習メモ
前回の記事で触れたレインボーテーブルを理解するため実際に作ってみた。 (おさらい) レインボーテーブルとは、ハッシュ値から平文を得るための逆引き表を実現する特殊な表のこと。 攻撃対象となるパスワードが取り得る全文字種・全桁数の総当たり攻撃のハッシュ値表をあらかじめ作って持っておけば、わざわざ総当たり攻撃をし直さなくてもハッシュ値から平文を引き出すことができる。 しかし、「攻撃対象となるパスワードが取り得る全文字種・全桁数の総当たり攻撃のハッシュ値表」をまんま作ろうとするととてつもないサイズの表になってしまい、通常扱えるようなものではなくなってしまう。 パスワードの範囲が「英大小文字+数字+記号(asciiコード印字可能文字)94通りの8桁」だとすると、 これの全ての組み合わせのハッシュ値を全部取得して表にすると、そのサイズは 94^8=6095689385410816*32=1950620
Free Rainbow Tables
The goal of FreeRainbowTables.com is to prove the insecurity of using simple hash routines to protect valuable passwords, and force developers to use more secure methods. By distributing the generation of rainbow chains, we can generate HUGE rainbow tables that are able to crack longer passwords than ever seen before. Furthermore, we are also improving the rainbow table technology, making them eve
レインボーテーブル – パスワード流出への対策を根本から理解する。 | DevelopersIO
はじめに 先日、Yahooに不正アクセスがあり、ユーザ名とパスワードを抽出しようとするプログラムが見つかったそうです。 そんな事もありまして、今回は少し趣を変えて、レインボーテーブルのお話をしたいと思います。 今まで概念は知っていても使う事がなかった技術ですが、この機会に詳しく知っておくのも良いかと思います。 レインボーテーブルは、ハッシュから平文を得るためのアルゴリズムの一つですが、実際にそのアルゴリズムで使用されるテーブルの事をいうこともあります。 今回はレインボーテーブルというアルゴリズムについて掘り下げて行きたいと思います。 ハッシュと平文のセットのテーブル レインボーテーブルの基本的な考え方は、非常にシンプルで、このハッシュだったら平文はこれですよというのを事前に用意しておきましょうという事です。 例えば人気パスワードランキング2012より、上位5件のパスワードに付いてもしこのハ
oreilly.co.jp -- Online Catalog: ネットワークセキュリティHacks 第2版
ベストセラー書『ネットワークセキュリティHacks』の改訂版。今回の第2版は116個のHackで構成されています。バージョンが古くなってしまったHackを最新の情報にアップデートし、現在ではもう使われなくなってしまった古いHackを削除し、数多くの新しいHackを追加しました。最新情報と新たなHackを追加し、国内の技術動向と読者のニーズに合わせて再構成された本書は旧版を購入された読者の方にとっても有用でしょう。 訳者まえがき クレジット はじめに 1章 Unixシステムセキュリティ 1. セキュアなマウントポイントの設定 2. SUIDおよびSGIDプログラムの調査 3. 書き込みパーミッション設定が甘いディレクトリの捜索 4. POSIX ACLで柔軟な権限を設定 5. ログの改ざん防止 6. 管理権限の分担化 7. 暗号シグネチャの自動検証 8. ネットワークサービスのチェック 9.
セキュリティウォリア
犯罪者から身を守るためには何が必要でしょうか?ただ闇雲に塀を高くしたり、 よく切れるナイフを懐に入れておくだけでは十分とは言えません。防御をより完 璧に近づけるためには、犯罪者の手口を知り、詳しく分析して対策を練る必要があります。同時に自分の弱点を知ることも重要です。本書は攻撃者の手口の詳細はもちろん、心理や目的にまで踏み込んでさまざまな観点から多角的に検討。その上で効果的な対策方法を示しています。日夜クラッカーと戦うシステム管理者だけでなく、すべてのPCユーザに贈る最強のセキュリティ本。UNIX、Linux、Windows、Windows CE対応。 監訳者まえがき はじめに Ⅰ部 ソフトウェアクラッキング 1章 アセンブリ言語 1.1 レジスタ 1.1.1 スタック 1.1.2 アドレッシング 1.2 命令コード 1.3 参考文献 2章 Windowsリバースエンジニアリング 2.1
本当は怖いパスワードの話
「パスワードはハッシュで保存すれば安全」と思われていますが、本当にそれだけで大丈夫なのでしょうか? この記事では、パスワードを安全に守るソルトやストレッチングといった手法について解説します(編集部) (2/4)
本当は怖いパスワードの話 ハッシュとソルト、ストレッチングを正しく理解する - @IT
PSN侵入の件から始めよう 今年のセキュリティの話題の中でも特に注目されたものとして、4月20日に起こったPSN侵入事件があります。5月1日にソニーが記者会見をネット中継したことから、ゴールデンウィーク中にもかかわらず多くの方がネット中継を視聴し、感想をTwitterに流しました。もちろん、筆者もその1人です。 このときの様子は、「セキュリティクラスタまとめのまとめ」を連載している山本洋介山さんが、Togetterでまとめています。 Togetterのまとめを読むと、漏えいしたパスワードがどのように保護されていたかが非常に注目されていることが分かります。Togetterのタイムラインで、14:48ごろにいったん「パスワードは平文保存されていた」と発表されると、「そんな馬鹿な」という、呆れたり、驚いたりのつぶやきが非常に多数流れます。 しかし、15:03ごろに「パスワードは暗号化されてなかっ
Ruby中級入門
Ruby中級入門 1. Ruby中級入門 @shokai 2013年8月5日(火) @masuilab 2. 私 •@shokai (しょうかい) •趣味:料理、glitch 3. ある程度大きなアプリケーションを作 っていると、部品に分割したくなると 思います。アプリ内ライブラリやgem の作り方を説明します。Rubyの機能を 活用した使い勝手の良いライブラリの デザインについて考えます。 4. • アプリ内ライブラリの作り方・gemの作り方 • サンプルコードとテスト • ライブラリのデザイン • API • DSL • 泥臭い小手先の技 • 例外・エラーの通知 • ドキュメント コンテンツ 5. ライブラリを作る 例:LeapMotionを自作アプリに組み込むための アプリ内ライブラリを作る 6. • LeapMotionはport 6437にWebSocket 接続するとJSONで
パスワードの定期的変更について徳丸さんに聞いてみた(1)
高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、パスワードの定期的変更問題についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、お伺いしたいことですが、パスワードを定期的に変更すべしという根拠には、どのようなものがあるのでしょうか? 徳丸: 大きく分けて2つの理由が挙げられていると思います。一つは、パスワードを定期的に変更すると、パスワードを破って侵入する攻撃の予防になるというもの、すなわち事前の予防策です。もう一つは、パスワードが漏洩した際に、被害を軽減できるというもので、事後の緩和策ということですね。 高橋: もう少し詳しくお願いします。 徳丸: まず、「事前」の方ですが、オンライン攻撃とオフライン攻撃があります。 高橋: オンライン攻撃とはどのようなものでしょうか? 徳丸: オンライン攻撃は、ネット経由でパスワード
昼メシ物語[B!]新着記事・評価 - はてなブックマーク
キーボードショートカット一覧 j次のブックマーク k前のブックマーク lあとで読む eコメント一覧を開く oページを開く ✕
Gunosy
アカウントの登録が完了しました。 現在、最初の記事の発行のための解析中です。 ご登録ありがとうございます。あなたのメールアドレスのアカウント登録に成功しました。現在ご登録いただいたアカウントを解析中です。この作業には2-3時間かかります。最初のパーソナルマガジンが発行でき次第,ご登録いただいたメールアドレスに送らさせていただきます。記事を見るにはメールを見るか,再度http://gunosy.comにアクセスしてください。お手数をかけますがもうしばらくお待ちください。
Bitcasaのためにかもめインターネットを契約してみた — どこか遠くでのんびり怠惰に暮らしたい
Bitcasaのためにかもめインターネットを契約してみた ちょっと前の記事で、Bitcasaを使い始めてからIIJmioに、上り回線を規制値の15GB/day以上に使いすぎだからこのままだと回線止めるぞ警告をいただいたという話の続き。トラフィックを監視するために、Vyattaのトラフィック状況をmuninでグラフ化するとかやってましたが、結局、トラフィック量の規制がそれほどでもないらしい、かもめインターネットを契約してみました。3ヶ月先払いで6900円。基本的には、3ヶ月で契約一度やめようかなと思っていて、この間に、手元にある6TB分くらいの各種データをBitcasaにアップロードしようと目論んでいます。また怒られるかなぁ。 Bitcasa宛のトラフィックだけをかもめインターネット経由にしたい 基本的に、かもめインターネットはFreebit系かVectant系が上位回線らしく、大きくないプ
ドメイン/IPアドレス【whois情報検索】
ドメイン/IPアドレス【whois情報検索】は、サーバー監視者向けにご提供しています。 「不正アクセスしているのは誰か?」 「自分の管理しているサーバーのIPアドレスをチェックしたいが?」 「どこの国からのアクセスか?」 「ドメインのホスト名・IPアドレスは?」 「IPアドレスのホスト名は?」 などのIP検索(IPサーチ)、ドメイン検索(サーチ)が可能です。 IPアドレス登録情報確認 IPアドレスを管理している団体のWHOISサーバーに登録情報を照会し結果を画面に表示します。 ドメイン登録情報確認 ドメインを管理している団体のホームページを画面に表示します。 IPアドレスの名義やドメインの名義は各管理団体により管理・公開されています。(当社管理ではございません) ご自身で管理・運営しているサーバやネットワーク機器のみでご利用ください。 使用不能文字:<>"{}|\^[]`#;?@&=+$,
Slimでセレクタを追加するときの書き方、及び Middleman の素晴らしさ。 - 納豆には卵を入れる派です。
よく、要素につけるidやclassを動的にしたい時とかに、Hamlだとこんな感じの書き方をする %li{class: "item #{item.name}"}この書き方がSlimだとダメっぽくてつまずいた。 Slimだとこんな感じの書き方になるらしい li[class="item #{item.name}"]こういうのもいけるっぽい。割と素のHTMLに近い感じで書けるのですね。 li class="item #{item.name}"そして条件つけるとこうなるっぽい li class=(if item.present? ? "#{item.name}" : 'no-item') li class=("#{item.name}" if item.present?)classを複数付け、かつ1つのclassにのみ条件を付加する場合はこのように入れ子にすればよいみたい。 li class="it
LIXILのトイレ操作アプリに脆弱性 - 使用中に蓋の開閉やビデが行われる恐れ
米国のセキュリティ会社であるTrustwaveは8月1日、LIXILが提供するAndroid向けトイレ操作アプリ「My SATIS」にハードコード化されたBluetooth PINの脆弱性が見つかったと発表した。 脆弱性は、同社が販売中のトイレ「SATIS」と連携を行うために利用されているBluetoothのPINコードが「0000」固定で設定されているというもの。 この脆弱性を利用することにより、攻撃者は「My SATIS」をダウンロードするだけで、任意の「SATIS」トイレを制御できるようになる。 そのため攻撃者は、トイレ利用者が予期しないタイミングでトイレのフタを開け閉めすることができるほか、ビデや空気乾燥機能のオン/オフも可能となるという。
railsはどこでcssを指定するのか? - QA@IT
平素よりQA@ITをご利用いただき、誠にありがとうございます。 QA@ITは「質問や回答を『共有』し『編集』していくことでベストなQAを蓄積できる、ITエンジニアのための問題解決コミュニティー」として約7年間運営をしてきました。これまでサービスを続けることができたのは、QA@ITのコンセプトに共感をいただき、適切な質問や回答をお寄せいただいた皆さまのご支援があったからこそと考えております。重ねて御礼申し上げます。 しかしながら、エンジニアの情報入手方法の多様化やQAサービス市場の状況、@ITの今後のメディア運営方針などを検討した結果、2020年2月28日(金)15:00をもちましてQA@ITのサービスを終了することにしました。 これまでご利用をいただきました皆さまには残念なお知らせとなり、誠に心苦しく思っております。何とぞ、ご理解をいただけますと幸いです。 QA@ITの7年間で皆さまの知識
AWKでさくっとHTTPサーバ を立てる(ワンライナーもあるよ) · DQNEO日記
使い方 chmod 0755 httpd.awk ./httpd.awk これで、ブラウザから http://hostname:8080/ にアクセスするとHello Worldが表示されます。 ちょこっとした疎通確認が簡単にできてよいですね。 ちなみに80番ポートをListenしたい場合はrootユーザで実行する必要がありますよ。sudo使いましょう。(←これに気付かず30分ほど悩んだ・・) 同じことをワンライナーで書くとこうなります。 awk 'BEGIN {port="8080";s="/inet/tcp/" port "/0/0";RS=ORS="\r\n";for(;;){if((s |& getline) > 0){printf "HTTP/1.0 200 OK\r\nContent-type: text/html\r\n\r\nHello, DQNEO!" |& s;}clo
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Amazon.co.jp: 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践: 徳丸浩: 本
Amazon.co.jp: セキュリティウォリア: 敵を知り己を知れば百戦危うからず: Cyrus Peikari (著), Anton Chuvakin (著), 伊藤真浩 (翻訳): 本
