でぃすこーど

システムエンジニア 趣味で情報セキュリティの勉強しております

でぃすこーど

システムエンジニア 趣味で情報セキュリティの勉強しております

記事一覧

サーバへの接続・セッションハイジャックの仕組み②Webサーバ編

情報セキュリティ第四弾:セッションハイジャック② 1.会員制サイトへのアクセスの流れ 2.会員制サイトへのなりすましアクセスの流れ 3.セッションID盗聴に至った…

サーバへの接続・セッションハイジャックの仕組み①TCP(後編:セッションハイジャックの流れ)

情報セキュリティ第三弾:セッションハイジャック①(後編) 概要 ・(前編)サーバへの接続確立までの流れ(リンク) ・(後編)セッションハイジャックの仕組みと対策 TCP…

サーバへの接続・セッションハイジャックの仕組み①TCP(前編:サーバ接続の基礎)

情報セキュリティ第二弾:セッションハイジャック①(前編) 概要 ・(前編)サーバへの接続確立までの流れ ・(後編)セッションハイジャックの仕組みと対策 TCP接続の基本…

1

情報セキュリティ:クロスサイトリクエストフォージェリ(CSRF)の仕組みと対策

情報セキュリティ第一弾:クロスサイトリクエストフォージェリ こんな方に見ていただきたい記事になります。 ・ログインしっぱなしだと危険なの? ・安全な会員制サイトを…

1
サーバへの接続・セッションハイジャックの仕組み②Webサーバ編

サーバへの接続・セッションハイジャックの仕組み②Webサーバ編

情報セキュリティ第四弾:セッションハイジャック②

1.会員制サイトへのアクセスの流れ

2.会員制サイトへのなりすましアクセスの流れ

3.セッションID盗聴に至った脆弱性が考えられるポイント

http通信を行っている

セッションIDの推測・偽装が簡易

セッション管理情報が観測可能

クロスサイトスクリプティング(XSS)によるcookie情報の悪用

それでは、各脆弱性について詳細を説明

もっとみる
サーバへの接続・セッションハイジャックの仕組み①TCP(後編:セッションハイジャックの流れ)

サーバへの接続・セッションハイジャックの仕組み①TCP(後編:セッションハイジャックの流れ)

情報セキュリティ第三弾:セッションハイジャック①(後編)

概要

・(前編)サーバへの接続確立までの流れ(リンク)
・(後編)セッションハイジャックの仕組みと対策

TCP接続のセッションハイジャックの流れ

事前の情報収集
・盗聴した通信内容から、シーケンス番号の生成している乱数の生成アルゴリズムを特定する

①クライアントがサーバへSYNを送る

②サーバからクライアントにSYN/ACKを送

もっとみる
サーバへの接続・セッションハイジャックの仕組み①TCP(前編:サーバ接続の基礎)

サーバへの接続・セッションハイジャックの仕組み①TCP(前編:サーバ接続の基礎)

情報セキュリティ第二弾:セッションハイジャック①(前編)

概要

・(前編)サーバへの接続確立までの流れ
・(後編)セッションハイジャックの仕組みと対策

TCP接続の基本(3ウェイハンドシェイクの流れについて)

クライアントからサーバへの接続を行う想定とします。

まず、クライアントからSYN(接続要求)を送信します。

次に、SYNを受け取ったサーバがクライアントへACK(有効確認)を送信

もっとみる
情報セキュリティ:クロスサイトリクエストフォージェリ(CSRF)の仕組みと対策

情報セキュリティ:クロスサイトリクエストフォージェリ(CSRF)の仕組みと対策

情報セキュリティ第一弾:クロスサイトリクエストフォージェリ

こんな方に見ていただきたい記事になります。
・ログインしっぱなしだと危険なの?
・安全な会員制サイトを作成したいけど、どんな脆弱性があるかよくわからない

1.CSRF(クロスサイトリクエストフォージェリ)の仕組み前章の通り、CSRFはサイトにログインしている状態の時に起こりうるものです。
一例として下記のようなサイトを想定します。

もっとみる