[改訂版] iPhoneアプリのSSL接続をパケットキャプチャする方法 | [ bROOM.LOG ! ]
はじめまして。この度このページの情報を参考にiPhoneでパケットキャプチャをやらせていただいたにゃんこと申します。 掲載されていた情報通りに進めると、何点か不明点があったので、役立つか?当たり前なのか?分かりませんが補足させていただきます。 ①まず使用するburpsuiteですが、バージョンによってインターフェイスが異なっています。 Ver1.1なら記載されている通り『[proxy]タブ – [option] → 「loopback only」がチェックされているのでこれを外します。』であっています。 Ver1.5(2013/5/12)では[proxy]タブ – [option] には、「loopback only」という項目がありません。 この場合は、みうさんのコメントにある通り(以下転記)になります。 >>Burp suiteでの設定ですが、Proxy→Optionsと辿り、Prox
![[改訂版] iPhoneアプリのSSL接続をパケットキャプチャする方法 | [ bROOM.LOG ! ]](https://cdn-ak-scissors.b.st-hatena.com/image/square/aade9e21ce05ad2ed7895ccdfb10acc358475d21/height=288;version=1;width=512/https%3A%2F%2Fblog.rocaz.net%2Fuploads%2F2011%2F02%2FiPhoneApp_Capture2.png)
Massive Security Vulnerability In HTC Android Devices (EVO 3D, 4G, Thunderbolt, Others) Exposes Phone Numbers, GPS, SMS, Emails Addresses, Much More
I am quite speechless right now. Justin Case and I have spent all day together with Trevor Eckhart (you may remember him as TrevE of DamageControl and Virus ROMs) looking into Trev's findings deep inside HTC's latest software installed on such phones as EVO 3D, EVO 4G, Thunderbolt, and others. These results are not pretty. In fact, they expose such ridiculously frivolous doings, which HTC has no o
レインボーテーブル - Wikipedia
レインボーテーブル (rainbow table) は、ハッシュから平文を得るために使われるテクニックの一つである。特殊なテーブルを使用して表引きを行うことで、時間と空間のトレードオフを実現している。 以降では、このテクニックの元となっているアイディアについて説明する。 3 種類の還元関数を使った簡単なレインボーテーブルの例 レインボーテーブルは「あるハッシュ値に対して総当たり攻撃を行った際の計算結果を、別のハッシュ値を攻撃する際に使用する」というアイデアに端を発する。例えば、平文 Pi (i = 1, 2, ...) と、それらをハッシュ化した値 Ci をテーブルに格納しておき、このテーブルを逆引きすればハッシュ値から対応する平文が得られる。 ただし、この方法では、得られた平文とハッシュ値とのペアを全て記録しておく必要があり、実現には莫大な記憶領域を必要とする。 使用する記憶域の量を削減
Endpoint Protection - Symantec Enterprise
最近発見された Android.Adrd について、本来は独自のものであるにもかかわらず、複数のセキュリティ企業がこの脅威を Android.Geinimi と同じ検出名で一括りにしている点は非常に興味深いと感じています。Android.Adrd は、Android デバイスを標的とする、検索エンジンの操作を目的とした初のトロイの木馬です。今日のブログでは、これら 2 つの脅威を比較します。 拡散 どちらの脅威も海賊版ソフトウェアを使用してユーザーのデバイスに感染します。脅威の作成者は、人気のあるアプリケーションを選んでトロイの木馬を仕込み、正常なコンテンツに乗せて悪意のあるコンテンツを配信します。 初期化 どちらの脅威も、起動時に実行されるように自身を登録します。また、Android.Adrd は、通話時またはネットワーク接続設定の変更時にも実行されるように自身を登録します。 機能 An
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
LOIC
Low Orbit Ion Cannon. The project only keeps and maintains (bug fixing) the code written by the original author - Praetox, but is not associated or related to it. DISCLAIMER: USE ON YOUR OWN RISK. THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDER OR CONTRIBUTORS "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
News
The global leader in press release distribution and regulatory disclosure. Public relations and investor relations professionals rely on Business Wire for broad-based and targeted market reach.
Japan Vulnerability Notes
JVNVU#93546510: KDDI製ホームゲートウェイHGW BL1500HMにおける複数の脆弱性 [2024/03/22 13:00] JVNVU#98188101: Advantech製WebAccess/SCADAにおけるSQLインジェクションの脆弱性 [2024/03/22 13:00] JVNVU#90953541: バッファロー製LinkStation 200シリーズにおける任意コード実行の脆弱性 [2024/03/22 11:00] JVNVU#93188600: UDPベースのアプリケーション層プロトコル実装におけるサービス運用妨害 (DoS) の脆弱性 [2024/03/21 16:00] JVNVU#93571422: Franklin Electric製EVO 550および5000における'/../filedir'に関するパストラバーサルの脆弱性 [2024/0
w3cもケータイ認証には困惑している件 | [ bROOM.LOG ! ]
ニコニコPodder iPhone/iPod/iPad対応ニコニコ動画簡単インポートツール aggregateGithubCommits GitHubレポジトリでのコミット数をAuthor/期間別に集計します probeCOCOATek 新型コロナ接触確認アプリCOCOAが配布するTEKを表示・集計 以前Twitterでもツイートしてたんだけど一部誤解があったのでこちらでまとめてみる。 Global Authoring Practices for the Mobile Web (Luca Passani) http://www.passani.it/gap/ 上記をもって「w3cが個体識別番号に駄目出し」としていたんだけど、多少事情が違った。 実は上記には元になる対象文書がある。それがw3cのベストプラクティスだ。 Mobile Web Best Practices 1.0 http://
AndroidのLVL(License Verification Library) とりあえず導入編 2010-10-09 - vvakameの日記
※ ここに書いてあることは全部間違っている可能性があります。頑張ってますが間違ってたらごめんなさい。Twitterかコメントなどで教えていただけるとうれしいです。 LVLってなんなの? Googleが提供しているライセンス認証とかできる物体。 このライブラリを利用して、自分のプログラム内で利用者が購入者かどうか確認することができます。 有料アプリでしか使うことができません。 どういう時に使えなくできるの? アプリケーションの利用者が購入している人ではないとき(正規ユーザではないとき)。 最新のバージョンじゃないとき。(VersionCode と VersionName がMarketにある最新版と一致しないとだめ) まぁ、○○のとき、××する、というのは自分で書くので、適当ですね。 どうやって検証するの? vending(Marketアプリ)のサービスに検証を依頼する 検証結果を受け取り、
クリックジャッキングってこうですか? わかりません
↑ この透過されているiframeは、ブラウザの最前面に配置されています ※はてなにログインしていると、どのようにボタンが被っているのかわかりやすくなります
インターネット側からiPhone上のソケットに接続できました « ku
実は私、NokiaがNokia端末上で動くMobile Web Serverを出した時にセットでついてたMWS:Rationale - OpenSourceに今までのウェブサーバなんか全く全然インタラクティブじゃない、インタラクティブっていうのはこういうのを言うんだ!と書かれているのを読んで以来、ケータイウェブサーバウォッチャーです。 今日、帰宅途中に @shachi @cqa02303 photoアルバムじゃなくて、ftpやhtmlサーバを内臓したカメラアプリっていいんじゃないかと思うですよ Twitter / fladdict: @shachi @cqa02303 photoアルバ … というのを読んで、そういえば今すぐ日本の携帯で動かせるウェブサーバ CeHttp - bits and bytesでためした限りはSoftbankだと外からも繋げられたから、もしかしておなじSonft
TechCrunch | Startup and Technology News
Unlike Light’s older phones, the Light III sports a larger OLED display and an NFC chip to make way for future payment tools, as well as a camera.
iPhoneのOpenSSHを安全に使う設定(jailbreak後) - iPhone.goodegg.jp
私の回りでもjailbreakしている人柱が何名かいるのですが、OpenSSHをデフォルトのまま使ってました…デフォルトだとインターネット上からいつものroot/alpineでログインできてしまうので安全に使う方法を紹介します。 脱獄については脱獄する危険性及び安全に使うためのヒントをご覧頂き、慎重にご検討ください。また脱獄及び記事内容の実施は、自己の責任において御願い致します。 1.試しにインターネット経由でログインしてみる。 1)iPhoneのIPアドレスを確認。 2)PC上から上記IPアドレスにアクセスしてみる。 あらら、繋がっちゃった。 あまりにも自由にアクセスできる状態なので、 やっぱなんかしら対応しなくちゃですね。 2.とりあえずの設定 CydiaからBossPrefsをインストールする。 SSHを使わない時はBossPrefsでSSHをOFFにしておく SSHを使う時は[設
大阪ガスサービスショップを家の中に入れてはいけない - GIGAZINE
上記写真は実家の2階台所にあるガス給湯器のコンセントなのですが、既にちぎれかかっています。しかもさらに調べてみると「明らかに何者かが故意にカッターで切った」形跡だったことがわかりました。これは外壁塗装の業者が塗装前に発見したもので、「このまま放置していると漏電して危険、火事になりかねない」ということで教えてくれたもの。そして、この発見の直前に「大阪ガスサービスショップ」が「ガス設備点検巡回」に来て、この給湯器を触っているわけですが……。 一体どういう点検をしたらこうなるのか、「大阪ガスサービスショップ」と「大阪ガス」に尋ねてみたところ、驚愕の事実が明らかに。実は「大阪ガスサービスショップ」は大阪ガスのロゴと名称を使っているのですが、「大阪ガス」ではなかったのです。そんなバカな。 というわけで、「大阪ガスサービスショップ」と「大阪ガス」に何をしたらこんな事になるのかといった点も含め、いろいろ
高木浩光@自宅の日記 - 日本のインターネットが終了する日
■ 日本のインターネットが終了する日 (注記:この日記は、6月8日に書き始めたのをようやく書き上げたものである。そのため、考察は基本的に6月8日の時点でのものであり、その後明らかになったことについては脚注でいくつか補足した。) 終わりの始まり 今年3月31日、NTTドコモのiモードが、契約者固有ID(個体識別番号)を全てのWebサーバに確認なしに自動通知するようになった*1。このことは施行1か月前にNTTドコモから予告されていた。 重要なお知らせ:『iモードID』の提供開始について, NTTドコモ, 2008年2月28日 ドコモは、お客様の利便性・満足の向上と、「iモード(R)」対応サイトの機能拡充を図るため、iモード上で閲覧可能な全てのサイトへの提供を可能としたユーザID『iモードID』(以下、iモードID)機能を提供いたします。 (略) ■お客様ご利用上の注意 ・iモードID通知設定は
高木浩光@自宅の日記 - 対策にならないフィッシング対策がまたもや無批判に宣伝されている, 追記(26日)
■ 対策にならないフィッシング対策がまたもや無批判に宣伝されている 「PCからオンライン取引、ケータイで認証」−ソフトバンクBBの新発想・認証サービス, Enterprise Watch, 2007年9月20日 「同サービスはまったく新しい認証の手段だ。暗号化技術にも依存しないので、クラッカーとのいたちごっこにもならず、これまでの認証の問題を一挙に解決することが可能。本当の意味でIT革命が起こせると期待できるサービスだ」と意気込みをあらわにしながら説明を行った。(略) 「PCを標的にしたハッキングやDoS攻撃を受ける可能性がゼロになる」(中島氏)。また、偽サイトとはシンクロしないため、フィッシング詐欺を100%防止することも可能だ。 ソフトバンクBB、携帯活用認証システムでWebサイトログイン対応に, ケータイWatch, 2007年9月20日 今回の新機能は、安全・簡便・低コストで、そう
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
google-authenticator - Project Hosting on Google Code
More Malware-Laced Codecs - Computer Security Research - McAfee Avert Labs Blog