セッションハイジャック

Salesforceの標準オブジェクト一覧について。こちらの続きで今回は標準オブジェクト一覧についてです。 stsa.hatenablog.com 標準オブジェクト多いなーと思ったら、184個あった。 表示ラベル API 参照名 種別 API 異常イベントストアApiAnomalyEventStore標準オブジェクト Cart Adjustment BasisWebCartAdjustmentBasis標準オブジェクト D&B 企業DandBCompany標準オブジェクト ToDoTask標準オブジェクト Web ストア在庫ソースWebStoreInventorySource標準オブジェクト …

安全なウェブサイトの作り方を読んだので、理解した内容を自分なりにまとめておきます。資料 上記は3章構成になっていてそれぞれ長めの内容なので、ここでは3章の『失敗例』について、Ruby on Rails ではどうするかについてをまとめます。 SQL インジェクション OS コマンドインジェクション パス名パラメータの未チェック例（ディレクトリトラバーサル） 不適切なセッション管理例（セッション ID の推測） クロスサイト・スクリプティングの例（エスケープ処理） CSRFの例 HTTP ヘッダ・インジェクションの例 メールヘッダ・インジェクションの例 参考 SQL インジェクション 参考資料内の…

安全なウェブサイトの作り方を読んだので、理解した内容を自分なりにまとめておきます。資料 上記は3章構成になっていてそれぞれ長めの内容なので、ここでは1章の『ウェブアプリケーションのセキュリティ実装』の設計や実装レベルの解決や対策方法についてまとめます。 上記の内容に沿って、Ruby on Rails での実装方法についても合わせてまとめておこうと思います。 根本的解決と保険的解決 ウェブアプリケーションのセキュリティ実装 SQL インジェクション 概要 発生しうる脅威 根本的解決 保険的対策 OS コマンドインジェクション 概要 発生しうる脅威 根本的解決 保険的対策 パス名パラメータの未チェ…

Rails セキュリティガイド - Railsガイドを読んだので、理解した内容を自分なりにまとめておきます。 Web アプリケーションの脅威 セッション セッションハイジャック セッションストレージ cookie のローテション CookieStore セッションに対するリプレイ攻撃 セッション固定攻撃 クロスサイトリクエストフォージェリ（CSRF） GET と POST を使い分ける 必須セキュリティトークン リダイレクトとファイル リダイレクトとは リダイレクトによる脅威 ファイルアップロードによる脅威 重要なファイルが上書きされないように注意 メディアファイルは非同期処理を行う ファイル…

今回は、Webセキュリティ脆弱性の中のセッション管理に関する部分について、IPAの資料をもとにおさらいする。 セッション管理の不備 発生し得る脅威 注意が必要なウェブサイトの特徴 根本的解決 保険的対策 セッション管理の不備 セッションIDの発行や管理に不備がある場合、悪意のある人にログイン中の利用者のセッションIDを不正に取得され、その利用者に成りすましてアクセスされてしまう可能性がある。 悪意のある人は、セッションIDの生成規則を割り出し、有効なセッションIDを推測する。また、わなを仕掛けたり、ネットワークを盗聴したり、利用者のセッションIDを盗みんだりする。 推測や盗用以外に、セッション…

1章 Web技術について ●ハイパーテキスト Webページの中に別のWebページへの参照を埋め込むことができる、Webを構成する文書。ハイパーテキストを作成する言語にHTML(HyperText Markup Language)がある。 ●APIとは ソフトウェア同士のやりとりを橋渡しする機能 ●静的ページと動的ページの違いは？ 静的ページは同じコンテンツが送られる 動的ページとは要求（URL）によってコンテンツが変化するようなもの WebサーバはHTMLだけでなく画像などの静的ファイルを返すことができる ❓ Rubyはサーバーサイド・スクリプトか？それともクライアントサイド・スクリプトか？ …

Webアプリケーションソフトウェアの脆弱性を悪用する攻撃手法のうち，入力した文字列がPHPのexec関数などに渡されることを利用し，不正にシェルスクリプトを実行させるものは，どれに分類されるか。 HTTPヘッダインジェクション OSコマンドインジェクション クロスサイトリクエストフォージェリ セッションハイジャック 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({}); 解答 イ 解説 HTTPヘッダインジェクションー OSコマンドインジェクションー クロスサイトリクエストフォージェリー セッションハイジャックー 参考書・問題集 参考情…

（解答中です １０月１１日）・今週かけてゆっくり更新していきます・・・問１設問１（１）ア （DOMって書いちゃってるし）（２）cookieにHttpOnly属性付与し、アップロードされた画像ファイルの形式を チェックさせる設問２ サーバではなくブラウザにスクリプトを実行させる手法設問３（１）cookieを画像ファイルに偽造する方法（２）画像をテキストエディタで開く（３）セッションハイジャック設問４信頼関係のないドメインのcookieは取得できないから問２設問１（１）ａ 利用者ID ｂ パスワード（２）ｃ 証明書に関する警告 ｄ（３）HTTP接続がリダイレクトされ、HTTPS接続要求がＢサービス…

https://jpn.nec.com/cybersecurity/blog/221007/index.html 多要素認証のバイパスするセキュリティ攻撃。 ログインしていることを保存しているCookieを盗み、それを攻撃者が利用することで認証済みの状態でサービスを利用する手段。 要するにセッションハイジャックである。

こんばんわ！本日もCNDの勉強をしていきます！お付き合いいただけると嬉しいです♪前回は、ネットワークレベルでの攻撃についてまとめました。興味ある方は下記を読んでみてください～ learnketyia.hatenablog.jp 今回は第３回「アプリケーションレベルの攻撃」についてまとめていきます！ アプリケーション攻撃用語 SQLインジェクション 一連の悪意のあるSQLクエリを使用してデータベースを直接操作する攻撃 XSS攻撃 （クロスサイトスクリプト） 攻撃者が、他ユーザが閲覧するサイトにスクリプトを注入できるようにする攻撃 ディレクトリートラバーサル攻撃 ソースコードや設定ファイルのような…

Overview of Cookies（クッキーの概要）： Evolution of Cookies（クッキーの変遷）： How Cookies Work（クッキーの仕組み）： Types of Cookies（クッキーの種類）： Session Cookies（セッションクッキー）： Persistent Cookies（永続クッキー）： First-party Cookies（ファーストパーティクッキー）： Third-party Cookies（サードパーティクッキー）： Secure Cookies（セキュアクッキー）： Advantages and Disadvantages of …

このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。 各出来事に関するコメントは個人の意見です。 サイバー世界情勢 全体 7/13 巨大ITにデジタル課税「25年発効」 米への税収集中是正 https://www.nikkei.com/article/DGXZQOUA06ANV0W3A700C2000000/ 日本 7/3 富士通、サイバー攻撃対策に不備 総務省が行政指導 https://www.nikkei.com/article/DGXZQOUC297860Z20C23…