HTTPサイトのドメインを奪われてHSTSを有効化されたら - Qiita
はじめに 最近lovelive-anime.jpドメインが何者かによって移管され一時的にその者の手に渡った。もともとの管理者によってすでに取り戻されたが、攻撃者は一時的にこのドメインに対する全権を握った。この記事では、あくまでも思考実験として攻撃者が他人のHTTPサイトを運用しているドメインの全権を握ったときに、攻撃者がHSTS(HTTP Strict Transport Security)を有効にしてしまった場合どうなるかについて考える。まずはHSTSについて簡単に説明し、そしてその後で今回筆者が考えた攻撃について議論し、最後にまとめを述べる。 この記事を読んでわからないことや改善するべき点を見つけた場合は、気軽にコメントなどで指摘してほしい。 攻撃者によるHSTSの有効化 ここではHSTSに関する説明と、筆者が考える攻撃(?)について説明する。 HSTSとは HSTSとは、HTTPのレ
商用環境で設定しておきたいセキュリティ関連 HTTP ヘッダまとめ - A Memorandum
TL;DR X-Content-Type-Options X-Frame-Options(XFO) X-XSS-Protection Content-Security-Policy (CSP) Upgrade-Insecure-Requests Strict-Transport-Security (HSTS) Public-Key-Pins (HPKP) 設定 TL;DR X-Content-Type-Options MIME スニッフィングの無効化 X-Frame-Options(XFO) フレーム表示を制限しクリックジャッキングを予防 X-XSS-Protection XSSフィルタの有効/無効 Content-Security-Policy (CSP) XSSなどの攻撃を軽減するセキュリティレイヤー Strict-Transport-Security (HSTS) HTTP の代わり
iOS実機のSSL通信をプロキシによって傍受したり改ざんする方法 - Qiita
はじめに スマートフォンアプリ開発でAPIを介しWeb/APIサーバーとやりとりをする場合、「httpsを使っていれば通信はユーザーにバレない」なんてことはなく、Webアプリでツールを使ってできるのと同じようにユーザーには通信内容の確認や改竄などができます。 そのため、そのことを前提にアプリやサーバーAPIの設計と実装を行わない場合、アプリ利用者によるゲームスコア結果送信の改竄や、ソーシャルゲームにおけるレイドボスなどへのダメージ操作、ECサイトアプリでの購入操作なども可能になってしまいます。 また、最近自分は「無料で音楽聴き放題!! - ネットラジオ」というアプリをリリースしたのですが、このアプリに導入するスタティックリンクライブラリが不明な外部サーバーへ通信していないか、SSLを使用しているつもりがそうでない通信をしてしまっていないかのチェックをするため、自分はmitmproxyという
セッションハイジャックツールFiresheepと対抗アドオンBlacksheepを検証してみた | Security.GS Magazine
半月~ひと月ほど前でしょうか、FiresheepというHTTPセッションハイジャックを行うFirefoxアドオンが話題になりました。 同じような攻撃は以前から可能でしたが、ブラウザのアドオンとして手軽に行えるツールは初めてではないでしょうか。 作者のEric Butler氏は、人々にセッションハイジャックのリスクを理解させるために”One-click session hijacking”ツールを公開したと述べています。 http://codebutler.github.com/firesheep/tc12/ ということでFiresheepの検証、それに対抗するアドオンとして公開されたBlackSheepなどを試してみました。 また、Blacksheepに検知されない方法も考えてみました。 実験 Firesheepの検証 BlackSheepの検証 Blacksheep対策 FireShep
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
