「Black Hat USA 2016」レポートの第1回記事では、NetBIOSの「BadTunnel」脆弱性を悪用する攻撃例として「WPAD(Web Proxy Auto-Discovery)」を組み合わせた手法が登場した。だが実は、このWPAD自体にも、未だ修正されていない別の脆弱性が存在する。 8月5日、Black Hatの講演で登壇した元トレンドマイクロのマキシム・ゴンチャロフ氏が、「badWPAD」と名付けられたこの脆弱性の実態調査結果を発表した。これを悪用すれば、ターゲットを攻撃者のプロキシサーバーに接続させることができ、フィッシングサイトへの誘導、偽の認証画面を使ったログイン情報詐取(中間者攻撃)、通信内容の監視など、幅広い攻撃が可能になる。 しかもゴンチャロフ氏の調査では、東京都が使っている多数のクライアントPCが、現在進行形でそのリスクを抱えていることも具体的に明らかにさ
第3会FRESH勉強会で発表予定のスライド。HTTPについて詳しくない人のために HTTPの概要から先日RFC化されたHTTP/2の新機能、使いどころを解説します。
Update 2015/5/8: 指摘頂いたタイポや誤訳などを更新しました。 2015/5/8: 構成を一部修正しました。 Intro 4/30 mozaiila のセキュリティブログに下記のようなエントリが投稿されました。 Deprecating Non-Secure HTTP | Mozilla Security Blog エントリはそこまで長くないので、ここに翻訳の全文を記載します。 そして、元エントリのライセンスである CC BY-SA 3.0 に則り、 本エントリも同じく CC BY-SA 3.0 とします。 Deprecating Non-Secure HTTP 原文: Deprecating Non-Secure HTTP 今日は、 non-secure な HTTP から、徐々に廃止していくという方針についてアナウンスします。 HTTPS が Web を前進させる手段である
宣伝 2015/11 追記 ソフトウェアデザイン 11月号に HTTP/2の特集記事を書かせていただきました。より詳しく書きましたので、本記事より参考になるかと思います。 http://www.amazon.co.jp/dp/B01494YKUI HTTP2は2014年4月のWG Last Callに向けて、仕様策定が進められている。 現在も、ロンドンで行われているIETFのミーティングでは熱い議論が行われているところであろう。 (local activityとして日本での活動なども紹介されているようです) HTTP2の仕様を決めているHTTPbisワーキンググループのchairであるMark Nottingham氏が、自身のブログにて「Nine Things to Expect from HTTP/2」という記事が投稿されている。 ここでは、HTTP2が何をもたらすか以下の観点で説明して
SPDYやQUIC登場の背景。Webの進化がプロトコルを変えつつある。HTML5 Conference 2013 Webをより速くしようと、HTTPよりも優れたプロトコルとして提案されたSPDY(スピーディ)。しかしそのSPDYによって、下位レイヤであるTCPの制限が顕著に見えるようになってしまい、そのことでTCP以外のプロトコルとしてQUICをGoogleが提案しています。 Webの進化は、インターネットのプロトコルにまで影響を与えようとしている、という非常に興味深い話が、HTML5のコミュニティ「html5j」主催のイベント「HTML Conference 2013」で行われた小松健作氏のセッション「最新Webプロトコル、傾向と対策」で行われました。 その内容をダイジェストで紹介しましょう。 最新Webプロトコル、傾向と対策 小松です。所属はNTTコミュニケーションズでHTML5の研究
This website uses cookies to analyze our traffic and only share that information with our analytics partners. Accept The 1st Line of Defense Against Web Application Attacks The OWASP CRS is a set of generic attack detection rules for use with ModSecurity or compatible web application firewalls. It aims to protect web applications from a wide range of attacks, including the OWASP Top Ten, with a mi
《特別座談会》 "セキュリティ三銃士"がそろい踏み! 今ある脅威の知られざる真相を語る 第1回 マイナビニュース 8月30日(金)11時11分配信 常にどこかで被害が報じられているといっていいほど、ここに来て発生頻度を増している不正アクセス事件。どうしてここまで攻撃者の増長を許しているのか──なかなか語られることのないその真相について、セキュリティの専門家たちが本音で議論を繰り広げるパネルディスカッション(9月13日・東京、9月25日・大阪「マイナビニュース WEBセキュリティセミナー 〜あの不正アクセスはなぜ起きたのか!? セキュリティ専門家が事件の裏側を徹底討論〜」)が開催される。 【拡大画像や他の画像】 これを受けて、まずはパネルディスカッションの"前哨戦"として、登壇予定の3人のセキュリティのプロに、最新のトピックや企業の取り組みの課題などについて意見をぶつけ合ってもらった。興味深
オープンソースのWebサーバとしてコンパクトで高性能なソフトウェアとして知られるnginx(エンジンエックス)の開発元Nginx.incは、ミッションクリティカルな用途に対応した商用版の「NGINX Plus」をリリースしました。 The High Performance Reverse Proxy, Load Balancer, Edge Cache, Origin Server | NGINX As business requirements continue to evolve rapidly, such as the shift to mobile and the explosion of dynamic content on the Web, CIO’s are continuously looking for opportunities to increase applicat
このシリーズはHTTPリクエストの理解を通じてWebパフォーマンスの重要性について考える5章構成になっている。 【序章】HTTPリクエストは甘え 【CSS Sprite編】スプライト地獄からの解放 【WebFont編】ドラッグ&ドロップしてコマンド叩いてウェーイ 【DataURI編】遅延ロードでレンダリングブロックを回避 【終章】我々には1000msの猶予しか残されていない 1日目は、HTTPリクエストの概要について説明する。 例えに、私のポートフォリオページ(t32k.me)が表示されるまでの流れを見ていく。まず、検索からでも方法はなんでもよいが、ブラウザのURLバーにt32k.meと打ち込んでアクセスする。そのページを見にいくということは、つまりt32k.meに対してHTTPスキームでリクエストするということを意味している。 クライアントであるブラウザは入力されたURLを判断して、リソ
The Polaris Dawn crew is back on Earth after a historic mission
用語「DNS Rebinding」についてDNS Rebinding (でぃーえぬえす りばいんでぃんぐ)話題 : セキュリティ DNS の情報を再読込させることで「同ドメインだが IP アドレスが違う」という状況を作り出し、same originポリシーを破ろうとする攻撃手法。攻撃者は有効なドメイン名をもち、その DNS サーバを管理している必要があります。 たとえば、攻撃者が bakera.jp ドメインを管理していて、218.219.246.132 という IP アドレスを持っていたとします。そして、以下のようにしておきます。 攻撃者は、自身の管理するDNSに、bakera.jp → 218.219.246.132 という情報を登録しておく。このとき、TTLの値を非常に短いものにしておき、情報がキャッシュされないようにしておく。攻撃者は、スクリプトを含む罠のWebページを http:
タイトルは釣りかとおもいきや僕は普通にあるのとないのとで3倍くらい差があるので、界王拳アプリのひとつです。特にWebアプリとか大きめの規模のサイト開発でとても役に立ちます。 Charles こんなことができます(目次) いちいちサーバーへファイル転送なんかしてられない Charlesのインストールとライセンス Map Local(指定URLのリクエストをローカルへ向ける Map Remote(指定URLのリクエストを別のURLへ向ける 常にキャッシュをオフに Locations 設定の流れ(ほとんど全部共通) Throttling で回線速度をシミュレート リクエストが丸裸 例えばXMLHTTPRequestの場合 ログの設定はRecording Settingsから 紹介してる以外にも Reverse Proxy を設定できたり、 Break Points で指定リクエストのパラメータを
Yellow, an asset financier for solar energy and digital devices in Africa has raised $14 million series B funding in a round led by Convergence Partners with participation from the Energy Entrepreneur Fisker, the electric carmaker founded by the Danish auto designer Henrik Fisker, is gearing up to enter the Chinese market where competition is increasingly cut-throat, following in the footsteps of
1. はじめに、 本日早朝、Android の Chrome のベータ版がアップデートし、バージョン26になりました。 それに伴い、Googleより Chrome の SPDY Proxyの機能と、Googleが提供する Page Speed サービスを組み合わせたData Compression Proxy という実験サービスのアナウンスがあり、早速使っていろいろ調べてみました。 2. Data Compression Proxyとは何? このData Compression Proxyはどういうものでしょうか? Googleの案内ページに記載されている下記の図が一番わかりやすいです Andoroid端末からData Compression Proxyを有効化したChrome(ベータ版)を使ってWebページにアクセスをすると、 HTTPSは、これまで通りAndroid端末から直接サーバへ
nginx(「エンジンエックス」[2][注釈 1])は、フリーでオープンソースなWebサーバアプリケーションである。処理性能・高い並行性・少ないメモリ使用量を焦点に開発し、HTTP, HTTPS, SMTP, POP3, IMAPのリバースプロキシの機能や、ロードバランサ、HTTPキャッシュなどの機能も有する。 nginx はBSDライクライセンスでリリースされ、Linux, BSD系OS, macOS, Solaris, AIX, HP-UX, Microsoft Windowsで動作する。2004年に Igor Sysoev が公開した。現在は NGINX Plus として nginx のエンタープライズ版の販売やサポートを行っている Nginx, Inc. が管理している。 2019年3月に Nginx, Inc はF5ネットワークスに6億7000万米ドルで買収された。 nginxは
新年度に入って発生した大規模な情報漏洩事件の影響から、自社のセキュリティ対策について見直す企業が増えている。二の舞を踏まないためには、今、インターネット/Webの世界にどんな脅威があるのかを把握しておく必要があるだろう。 そこで本誌は、KDDIの情報セキュリティフェローや日本ネットワークセキュリティ協会の副会長などの肩書きを持ち、数々の国際会議で議長を務める中尾康二氏に、セキュリティ脅威の最新事情を聞いた。 プロフィール 中尾康二 (NAKAO Koji) 1979年早稲田大学卒業後、国際電信電に入社。KDD研究所を経て、現在KDDI 情報セキュリティフェロー、及び独立法人情報通信研究機構(NICT)ネットワークセキュリティ研究所 主管研究員兼務。ネットワーク及びシステムを中心とした情報セキュリティ技術に関わる技術開発に従事。 早稲田大学、及び名古屋大学非常勤講師。 6月22日に開催される
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
