リプレイ攻撃

[研究] ・リプレイ攻撃がseqで対処できる解釈 -> seqは2バイト確保しており、2^16乗回分のseqがあるので、 それがMACに反映されている。よってあるメッセージを傍聴して再び送ろうとしたら、2^16乗回分のが終わった後になるので困難。 -> 2の16乗が終わってもseqが何周目かのビットを立てれば良さそう？ ・packet_downlinkとpacket_uplinkに認証を追加した。 -> verify_macのところの引数を変更して、関数を呼び出すだけでできるように実装をした。 -> broadcastのところは認証がうまくいっているっぽいが、sendの方が、受け取り側のmac…

Hello there, ('ω')ノ クライアント側に配置されたコントロールと検証と。 それをどのようにバイパスするかについて。 クライアントサーバアーキテクチャの基本的なセキュリティ上の欠陥は。 サーバがクライアントを制御できないことで。 【クライアント経由でデータを送信】 ■非表示のフォームフィールド Webアプリケーションでクライアントからデータを送信する最も一般的な方法で。 <input type=”text” name=”quantity”> <input type=”hidden” name=”price” value=”49”> 非表示のフィールドは、UI にレンダリングされな…

プロフェッショナルSSL/TLS作者:Ivan Ristić発売日: 2018/06/04メディア: 単行本（ソフトカバー） 最近ふとSSL/TLSの仕組みについて知りたくなったので、「プロフェッショナルSSL/TLS」を読んだ。 かなりいろんな話題を網羅していて、かつ具体的な設定例なども書かれていて良かった。TLSに関する仕事をするときや、SSL/TLSやHTTPS周りで何回かハマったことがあるなら非常にお勧めできる。 仕組みを理解したいなら1章 SSL/TLSと暗号技術・2章 プロトコル・3章 公開鍵基盤が参考になった。実運用なら8章 デプロイ・9章 パフォーマンス最適化・16章 Ngin…

この記事は何 試験内容 対策 メモ 全体共通 セキュリティ 用語 ネットワーク・通信 用語 プロトコル OSI参照モデル ネットワーク・通信 IPアドレス・IPネットワーク データベース 参考資料 用語 SQL ステートメントの構文 この記事は何 応用情報技術者試験の本番30日前の勉強時のめも。 午後の過去問を解いて、間違えた問題や知らないワードをメモする。 特におすすめ分野とかは載せてないので、探している方は他の方のサイトを参照してみてください。 以下、あくまで自分の解釈や理解なので正しさは保証しません。 次回▼ 試験内容 要綱・時間・基準については最新の内容を確認してください。 2020年…

最近のインフラエンジニアはただシステムが使えるだけではよくなくてセキュリティの知識も深めてセキュリティ侵害を受けにくいシステム作りを意識する必要があります。 そして、今回は昨年話題になった、LDAP署名についての情報になりますが、これを設定することで、セキュリティ強化につながります。 ActiveDirectoryのセキュリティ強化 LDAP署名をGPOで有効にする方法についての情報になりますが、情報元はこちらです。 Windows Server で LDAP 署名を有効にする方法 https://docs.microsoft.com/ja-jp/troubleshoot/windows-se…

Q：2層コミットメントA：分散データベースシステムにおいて，一連のトランザクション処理を行う複数サイトに更新処理が確定可能かを問い合わせ，すべてのサイトの更新処理が確定可能である場合，更新処理を確定する方式はどれか。[参 平成22年度 秋期 応用情報技術者試験 午前 問30]Q：メタデータA：データの定義情報（更新日、容量等）を記述した情報のこと。Q：分散データベースシステムのデータディクショナリ/ディレクトリの配置方式に関するものは。A：集中管理方式では，データディクショナリ/ディレクトリを保有するサイトの障害が，分散データベースシステムの重大な障害になる。[参 平成26年度 秋期 応用情報…

MozillaのMartin Thomson氏から「Optimizations for Using TLS Early Data in HTTP/2」という提案仕様が出ています。もともとHTTP/2(RFC7540)を標準化した時には、TLS1.3(RFC8446)はまだありませんでした。ですので、TLS1.3で導入された 0-RTTデータ (Early Data)や 0.5-RTTデータは 考慮されていません。HTTP/2では通信直後にSETTINGSフレームを送り合ってからHTTPメッセージの送受信を行います。相手からのSETTINGSフレームの受信を待つことは必須ではありませんが、受信で…

×32 カプコン、従業員やメール情報流出か サイバー攻撃で :日本経済新聞 ×31 [タイトルが取得できませんでした] ×26 DDoS 脅迫の調査 - Akamai Japan Blog ×25 Zoom会議でやらかし 下半身露出の米評論家も停職 写真1枚 国際ニュース：AFPBB News ×19 PortSwigger is recognized as a 2020 Gartner Peer Insights Customers' Choice for Application Security Testing* | Blog [タイトルが取得できませんでした] ×17 セキュリティインシ…