Lucky Thirteen Attackの攻撃手法を説明してみるよ - dec9ue's diary
Lucky ThirteenはTLS, DTLSのCBCモードを利用する暗号の脆弱性を突く攻撃です。具体的に言うと、CBCモードに対するPadding処理の弱い部分を狙ったPadding Oracle攻撃の一種です。 その影響とか、脅威とか、対処法とかは結構いろんな所で説明されているのですが、単純な興味とか、知識とか、内容を実感したい、というような方が読むことを想定した記事はあまりないように思われたので、その仕組みを説明したいと思います。 TLSパケットの仕組み まずはじめに、TLSパケットの暗号処理の仕組みを簡単に説明します。 イメージとしてはこんなかんじで、ヘッダ+平文データのMAC(チェックサム的なもの)をとる→パディングをつける→暗号化する、 と言った流れでパケット(レコード)を構築します。 TLSのパディング ブロック暗号はそのままではブロックの幅に合わないデータを取り扱えないの
Flashの脆弱性の見つけ方メモ(簡易版)
WEB系の情報セキュリティ関連の学習メモです。メモなので他情報のポインタだけ、とかの卑怯な記事もあります。 ※2020.9 注記:本ブログの解説記事は内容が古くなっております。OWASP ZAPなどのソフトウェアの解説は現行バージョンの仕様から乖離している可能性があります。 Flashの解析はそこまで深くできる訳ではないのですが、オープンリダイレクタ見つけられるくらいの解析はできるようになったので、手順のメモをここに書いておきます。 1. Flashデコンパイラのインストール Flashの解析に必要なFlashデコンパイラ JPEXS Free Flash Decompilerを下記よりダウンロードしてインストール http://www.free-decompiler.com/flash/ (要JRE 1.7以上) ※デスクトップのショートカット、もしくはインストールフォルダのffdec.
ログイン - はてな
パスワードを忘れた方はパスワードの再設定を行ってください。 うまくログインできない方はお問い合わせをご覧いただき、Cookieの設定をご確認ください。
世界初の「サービスとしてのOS」、「CoreOS Managed Linux」がリリース
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 大規模なサーバ配備に適したLinux OSを開発するCoreOSは米国時間6月30日、企業向けオプションとして月単位のサブスクリプション形式でサポートを提供する「CoreOS Managed Linux」をリリースしたことを発表した。また、シリーズA投資ラウンドで800万ドルの資金を調達したことも併せて発表している。 CoreOS Managed Linuxは「OS as a Service」(サービスとしてのOS)として提供される。企業は継続的にアップデートやパッチの提供を受けられるため、OSの大規模な移行作業が不要となる。 CoreOSの最高経営責任者(CEO)Alex Polvi氏はプレスリリースで、「企業は今日からCoreOSを
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
