まちがった自動ログイン処理
(Last Updated On: 2018年8月20日)問題:まちがった自動ログイン処理の解答です。このブログエントリは最近作られたアプリケーションでは「問題」にしたような実装は行われていないはず、と期待していたのですがあっさり期待を破られたのでブログに書きました。このブログの方が詳しく書いていますけが「Webアプリセキュリティ対策入門」にも正しい自動ログイン処理を書いています。 参考:自動ログイン以外に2要素認証も重要です。「今すぐできる、Webサイトへの2要素認証導入」こちらもどうぞ。HMACを利用した安全なAPIキーの送受信も参考にどうぞ。 間違った自動ログイン処理の問題点 まず間違った自動ログイン処理を実装しているコードの基本的な問題点を一つ一つ順番にリストアップします。 クッキーにランダム文字列以外の値を設定している クッキーにユーザ名が保存されている クッキーにパスワードが保
うっかりだまされてしまう8つの質問
ソーシャルエンジニアリングが使われた事例を分析すると、幾つかのパターンが存在していることが分かる。プロの詐欺師は、状況に応じて複数のパターンを組み合わせている。情報を盗まれないためには、個別の攻撃パターンを理解することが役に立つ。 これは、フィッシング詐欺で使われる最も簡単なメールの一文だ。この文を読んで「こんな言葉にだまされない」と思ったのではないだろうか。だが、この一文にはソーシャルエンジニアリングで使われるパターンを見つけることができる。ここには、金融機関からの電子メールを思わせる「ネームドロップ」、期間を限定する「ハリーアップ」といった手法が使われている。プロの詐欺師はこのようなパターンを複数組み合わることで、相手の信頼を獲得し、必要な情報を引き出すのである。 それではソーシャルエンジニアリングで用いられる攻撃パターンを分類し、特徴を説明しよう。 きっかけを探し出す「トラッシング(
Cookie Monster襲来! 戦え、星野君 − @IT
星野君の趣味の1つであるFlashゲーム制作。ところが自作ゲームに欠陥があり、全面的な修正が必要なことが発覚した。月曜日、思いっきりブルーな状態で出社してくると、Web管理システムに新たなトラブル発生? 町田さん 「ねえ、星野君」 星野君 「あ、町田さん。どうかしたんですか?」 町田さん 「Web管理ツールって、何かいじった?」 星野君 「え……、特に何もしてないですけど……。何か変ですか?」 町田さん 「まあ、いいからちょっと来てよ」 ちょっと不機嫌そうな町田さん。星野君は、何か怒らせるようなことでもしでかしたのかとドキドキしながらついて行った。 町田さん 「これなんだけどさぁ。昨日まで使えてたのに、なんかログインできなくなっちゃったんだよね……。ほらっ」 星野君 「え、ちょっと貸してもらっていいですか?」 町田さんの使っていたWebブラウザを借りて試してみるが、確かにログインできない。
KENJI
更新履歴 DNS拡張EDNS0の解析 Linuxカーネルをハッキングしてみよう Windowsシステムプログラミング Part 3 64ビット環境でのリバースエンジニアリング Windowsシステムプログラミング Part2 Windowsシステムプログラミング Part1 Contents インフォメーション 「TCP/IPの教科書」サポートページ 「アセンブリ言語の教科書」サポートページ 「ハッカー・プログラミング大全 攻撃編」サポートページ ブログ(はてな) BBS メール このサイトについて テキスト 暗号 詳解 RSA暗号化アルゴリズム 詳解 DES暗号化アルゴリズム crypt() アルゴリズム解析 MD5 メッセージダイジェストアルゴリズム crypt() アルゴリズム解析 (MD5バージョン) TCP/IP IP TCP UDP Header Format(IPv4) Ch
「安心できるメール」配信のためにサービス事業者ができること
フィッシングではエンドユーザー側の対策に注意が集まりがちだが、なりすまされるサービス事業者の側にできることはないだろうか? まずメールでの対策から考えてみよう。 金融機関やショッピングサイトなどのサービス事業者になりすましたメールでサービス利用者を本物そっくりの偽サイトへ誘導し、そこからユーザーのID/パスワードやカード情報を盗む「フィッシング(Phishing)」が日本でも増えてきている。 フィッシングで直接的な被害を受けるのはサービスの利用者であり、そのほとんどはコンシューマーだろう。例えば、オンラインバンキングのID/パスワードやクレジットカード情報が盗まれ、それらが悪用されることによって、金銭的な被害を受ける事件が増えている。 しかし同時に、フィッシングでなりすまされたサービス事業者にも、被害を受けた利用者に対するサポートや補償に掛かるコスト、信用やブランドイメージの低下、または不
自社サーバがフィッシングサイトに「踏み台化」されたら?
自社サーバがフィッシングサイトに「踏み台化」されたら?:企業責任としてのフィッシング対策(1/3 ページ) 知らないうちに自社のWebサーバが不正アクセスを受け、フィッシングサイトが設置されていた――こんな事態に直面した場合、どうしたらいいだろうか? 「貴社の管理するネットワーク上にフィッシングサイトがあります。至急ご対処をお願いいたします」 「御社のサーバが踏み台化され、フィッシングサイトになっています」 ――2005年度にJPCERT/CCが受けたフィッシング踏み台サイト(不正アクセスを受け、フィッシングサイトを仕掛けられたサイト)のインシデント報告は257件(2005年4月~12月)。2004年度の74件(2004年4月~2005年3月)に比べて3倍以上に増加している。このことからも分かるとおり、自分の会社のホストがフィッシング踏み台サイトとなり、先ほどの例のようなメールが届くことは
MOONGIFT - PHP Screw - オープンソースによるIT戦略支援 -
サーバにインストールして使えるRSSリーダー 自宅サーバやイントラサーバにインストールして使えるRSSリーダー。 サーバにインストールして使えるRSSリーダー Yahoo!などのサーバ型RSSリーダーで記事が最新に更新されるのを待たされていらいらさせられる事はないだろうか。また、クライアント型のRSSリーダーを使っていて自宅のパソコンでしか記事が見られずに不便な思いをする事もあるだろう。 特に会社内ではチェックする情報も似通っており、それを様々な管理するのは煩雑だ。ネットワークの負荷増大にもつながり、クライアント型のメリットは薄い。 本日紹介するフリーウェアはFreshReader、自宅のサーバや会社のイントラサーバにインストールして使えるRSSリーダーだ。 FreshReaderはPHPで書かれており、ApacheなどのWebサーバの好きなディレクトリにダウンロードしたファイルをコピーす
PHPのSession Fixation問題
(Last Updated On: 2006年10月24日)PHPのセッション管理はセッションの固定化(Session Fixation)に脆弱であることは広く知れらていると思っていました。先日、php-users(ja)のMLに「Hardened PHPプロジェクトのStefanさんのパッチにSQLite Sessionモジュール用のセッションセーブハンドラパッチを追加したパッチを公開しました」と投稿しました。しかし、ダウンロード数等から推測するとセッションの固定化のリスクが正しく認識されていないのではないかと思えます。 セッション固定化のリスクを分かりやすく説明するには具体的な攻撃のシナリオを紹介した方がわかり易いのでいくつか説明します。以下の説明はデフォルト状態のPHPインストールでSession Fixation対策を行っていないのPHPアプリケーションに対して可能な攻撃の一例です
Linux Fedora
SELinuxを実装したFedora Core 4サーバを作ってみよう(updated 14 Mar/06 ) このページの更新はもう行いません。 SELinuxのstrict-1-27ポリシー、Fedora core 4、postgresql-8.1.1、mysql-5.0.18、apache- 1.3.34、apache-2.2.0、php-5.1.2、php-4.4.2、winscp、 putty、nmap、lsat、java、snmp、mrtg、 meadow、pear、smarty、mod_security、namazu、nucleus、samba-3.0.20bは試しましたか? このページの簡単な説明(今日の独り言) SELinuxに対応したサーバの作り方です。SELinuxを際だたせるために書いていないところは、こち らで確認してください。なかなか大
t_komuraの日記 [セキュリティ]Web Application Security Reviews
PHP Everywhere に Web Application Security Reviews という、投稿がありました。 非常に興味深かったので、訳してみました。金融機関で受けた Web アプリケーションのセキュリティチェック項目をまとめたものだそうですが、結構厳しいです。 誤訳などがありましたら指摘していただけますと幸いです。 全ての重要な作業過程において、開発側と検査側を含めなければならない。言い換えると、もし私(開発側)が重要な案件を作成する場合、他の誰か(検査側)の検査と承認を受けなければならない。 取引の活発な団体の全ての取引において、ユニーク ID と(前後の)変更データ、タイムスタンプを保存しなければならない。 PHP または ASP で使用される全てのデータベースのパスワードは暗号化されていなければならない。 もし、Web アプリケーションがインターネットに公開される
![t_komuraの日記 [セキュリティ]Web Application Security Reviews](https://cdn-ak-scissors.b.st-hatena.com/image/square/ae7f4abb7e6442fab45fa96b182f48e5f0527f6b/height=288;version=1;width=512/https%3A%2F%2Fogimage.blog.st-hatena.com%2F17680117127090908787%2F17680117127090918273%2F1556506981)
)
ハッカーがネットワークに侵入する方法
TechNet Magazine の内容の TechNet ライブラリへの移行 これまで TechNet Magazine に載せられてきた技術コンテンツは、2016 年 9 月以降、TechNet ライブラリの指定されたセクションに移行されます。 TechNet Magazine は、2005 年から 2013 年 10 月まで発行されました。2005 年に 3 号、2006 年から 2012 年は 12 号ずつ、2013 年に 10 号発行されました。最終号と同時に、TechNet では Microsoft TechNet Companion アプリが発表され、製品、機能、近日予定のイベントに関する最新のニュースが事実上どこからでも確認できるようになりました。スマートフォン、タブレット、PC から、カスタマイズ可能なフィード、ストリーミング ニュース、Microsoft コンテンツの統
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
