2012年02月24日

こりゃぁ危ない

簡単ログインの危険性






いちおーIP制限はかけてるし、IPでキャリア判定はしてるけど。。

とりあえず当運用サイトでは、個人情報のような重要度の高い情報は保持しないことにして。

後々、ユーザー数が増えるか、要望があったら、入れよう。

まだ知識ないから保留です。



他、ガラケーの脆弱性についての記事いろいろ

mpw.jp管理人のBlog

KDDIの新GWで「かんたんログイン」なりすましの危険性あり直ちに対策された


クッキー食えないのはドコモだけ

はてなのかんたんログインがオッピロゲだった件

ユニークIDがあれば認証ができるという幻想
posted by onishi at 15:03| Comment(0) | security | このブログの読者になる | 更新情報をチェックする

2012年02月10日

hashDos攻撃

http://words-of-web.seesaa.net/article/246663450.html


連想配列の実装には、高速な検索が要求されるためハッシュテーブルが用いられる
ハッシュテーブルは、文字列を整数値(ハッシュ値)に変換するハッシュ関数を用いて、平均的には一定時間に検索・挿入・削除が行えるデータ構造である

しかし、ハッシュ値が一致する(衝突する)キー文字列については、通常ハッシュテーブルは順次的な探索となり、検索・挿入などが遅くなる。
hashdos攻撃はその仕様を利用してハッシュ値が同じになるキーを多数POSTパラメータに含ませることにより、CPU資源を枯渇させる攻撃。



対応策
http://blog.tokumaru.org/2012/01/modsecurity-hashdos-build.html


ですって。
知らなかった。
特に赤字の部分。


アメブロは場違いかな。
やはり。
posted by onishi at 08:45| Comment(0) | security | このブログの読者になる | 更新情報をチェックする

2011年09月08日

セキュリティについての参考リンク

小悪魔女子大生のサーバエンジニア日記
http://co-akuma.directorz.jp/blog/
かわいくてわかりやすい。
うさぎさん。
posted by onishi at 10:58| Comment(0) | security | このブログの読者になる | 更新情報をチェックする

2011年06月29日

マジックバイトとインジェクションについて

■マジックバイト偽装について

セキュリティ対策ソフト業界でも意見が分かれる「マジックバイト」問題とは
http://japan.cnet.com/news/sec/20090015/

シグネチャー(Signature)とは?
既知の不正侵入を検知するためのパターンファイル

■画像ファイルによるクロスサイト・スクリプティング(XSS)傾向と対策
見れなかったからキャッシュで。
http://www.tokumaru.org/d/20071210.html
http://webcache.googleusercontent.com/search?q=cache:uNAp9fvQW_8J:www.tokumaru.org/d/20071210.html+%E3%83%9E%E3%82%B8%E3%83%83%E3%82%AF%E3%83%90%E3%82%A4%E3%83%88&cd=1&hl=ja&ct=clnk&gl=jp&source=www.google.co.jp



■インジェクションについて
http://thinkit.co.jp/free/tech/7/5/1.html
インジェクション(injection)とは、内部に何かを注入することを意味する言葉だ。インジェクション攻撃とは、プログラムがごく普通に受け取る入力データの中にセキュリティを侵害するようなコマンドを巧みに混入し、それをコンピュータ内部で機能させてしまう攻撃手口のことをいう。


どうしてこんなことも知らないんだろうと思ったら
まだWEB開発始めて2年目でした。
4年後には専門用語が飛んで買うようなぐらい詳しくなるつもり。


■バイナリーセーフ
バイナリデータを正しく扱うことが出来る関数
http://www.atmarkit.co.jp/fsecurity/rensai/httpbasic04/httpbasic03.html

バイナリ
http://ja.wikipedia.org/wiki/%E3%83%90%E3%82%A4%E3%83%8A%E3%83%AA
コンピューターが扱う、最小単位のデータのこと。たぶん。
2進数の集まり。


セキュリティ関係の記事、面白いんだけど、どうしてかな。
原理に近いからかな。
ラベル:セキュリティ
posted by onishi at 14:32| Comment(0) | security | このブログの読者になる | 更新情報をチェックする