¥Í¥Ã¥È¥ï¡¼¥¯¥×¥í¥°¥é¥ß¥ó¥°ÆÃÏÀ



Similar documents
第2回_416.ppt

pkiday_tls13.key

HTTP Web Web RFC2616 HTTP/1.1 Web Apache Tomcat (Servlet ) XML Xindice Tomcat 6-2

Copyright 2006 Mitsui Bussan Secure Directions, Inc. All Rights Reserved. 3 Copyright 2006 Mitsui Bussan Secure Directions, Inc. All Rights Reserved.

TLS 1.2 TLS TLS iijlab-seminar pd

Adobe AIR のセキュリティ



ict8.key

¥Í¥Ã¥È¥ï¡¼¥¯¥×¥í¥°¥é¥ß¥ó¥°ÆÃÏÀ

2.SSL/TLS と暗号プロトコルの安全性 恒久的に噴出する脆弱性との戦い クライアント ClientKeyExchange Verify ServerKeyExchange Request Done Request サーバ X Master Secret CCS MAC 図 -1 図


5-5_arai_JPNICSecSemi_XssCsrf_CM_ PDF

25 About what prevent spoofing of misusing a session information

untitled

Phishing対策のためのMutualアクセス認証 〜 MutualTestFoxの公開について 〜

untitled

FileMaker Server Getting Started Guide

Web SOAP Internet Web REST SOAP REST 3 REST SOAP 4

shio_ PDF

GulfStar1.5ユーザーマニュアル

通信プロトコルの認証技術

main.dvi

FileMaker Server Getting Started Guide

FileMaker Server 16 インストールおよび構成ガイド

従来型 Web Ajax ー Webサー ー Webサー M M に M ージを M M ク イ ント JavaScript を イン M を ー に ータ 力 Submit タンを Submit の ージ る XX X 力 ータ M ータの によ に る M を に の プリに対 キー ー スによ


/07/ /10/12 I

FileMaker Server Getting Started Guide

操作1 <設問作成>

Lecture on

REALV5_A4…p_Ł\1_4A_OCF

untitled

「都市から地方への人材誘致・移住促進に関する調査」

<91498EE88CA D815B2E786C73>

〔 大 会 役 員 〕

橡本体資料+参考条文.PDF

PowerPoint Presentation

/02/ /09/ /05/ /02/ CA /11/09 OCSP SubjectAltName /12/02 SECOM Passport for Web SR

i TCP/IP NIC Intel 3com NIC TCP/IP *1 20 IPv4 IPv6 IPv6 TCP/IP TCP/IP *1 3

untitled

FileMaker Server 15 入門ガイド

FileMaker Server Help

2

Web Web Web 2

untitled

Oracle Application Server 10g Release 3(10.1.3)Oracle HTTP Serverの概要

Cisco WebEx ホワイトペーパー: リアルタイムコラボレーションのパワーを解き放つ: Cisco WebEx ソリューションのセキュリティ概要

FileMaker 15 WebDirect ガイド

Oracle Secure Enterprise Search 10gを使用したセキュアな検索

IW2001-B2 1 Internet Week 2001 ( ) Copyright 2001 All Rights Reserved, by Seiji Kumagai IW2001-B2 2 CodeRed Copyright 2001 All Rights

AJAXを使用した高い対話性を誇るポートレットの構築

jquery


07_経営論集2010 小松先生.indd

Macintosh HD:Users:ks91:Documents:lect:nm2002s:nm2002s03.dvi

Oracle Application Server 10gリリース2( )Oracle HTTP Serverの概要

FileMaker Server Help

Microsoft PowerPoint - 2k_SSL Value for Customers.pptx

Teradici Corporation # Canada Way, Burnaby, BC V5G 4X8 Canada p f Teradici Corporation Teradi

Windows Oracle -Web - Copyright Oracle Corporation Japan, All rights reserved.

untitled

事例に見るSCORMの・・・

2 Java 35 Java Java HTML/CSS/JavaScript Java Java JSP MySQL Java 9:00 17:30 12:00 13: 項目 日数 時間 習得目標スキル Java 2 15 Web Java Java J

別添 2 SQL インジェクション ぜい弱性診断で最低限行うべき項目 1 ( ' ( 検索キー )''-- ( 検索キー ) and 'a'='a ( 検索キー ) and 1=1 は最低限 行うこと ) OS コマンドインジェクション 2 (../../../../../../../bin/sle

Session Fixation ID ID ID ID WhiteHat Security 1) 12% Session Fixation MBSD 2) Session Fixation Session Fixation ID ID ID ID ID Session Fixation ID ID

H indd

"CAS を利用した Single Sign On 環境の構築"

Cisco® ASA シリーズルーター向けDigiCert® 統合ガイド

WIDE 1

第3回_416.ppt

Wiki

NexusGuard_final_Japanese_ver_PacSec_Bypassing_DDoS_Mitigation_PacSec_JP_2013.pptx

HTTP2 HTTP2 http2fuzz ATS Firefox NodeJS

目次〜.indd

WordPress Ktai Style Ktai Entry 18 Mac 18

Microsoft PowerPoint - psj06johns-j.ppt


¥Í¥Ã¥È¥ï¡¼¥¯¥×¥í¥°¥é¥ß¥ó¥°ÆÃÏÀ

"CAS を利用した Single Sign On 環境の構築"

DNS と blocking anti-blocking 要素技術 ( みえてしまう要素技術 ) 藤原和典 株式会社日本レジストリサービス (JPRS) Internet Week 2018, DNS Day 2018 年 11 月 29 日 Copyrigh

CAS Yale Open Source software Authentication Authorization (nu-cas) Backend Database Authentication Authorization Powered by A

証明書検証サーバ

自己紹介 はせがわようすけ ネットエージェント株式会社 株式会社セキュアスカイ テクノロジー技術顧問 OWASP Kansai Chapter Leader OWASP Japan Chapter Advisory Board member

FileMaker WebDirect Guide

ウイルスバスター ビジネスセキュリティ インストールガイド

untitled

Installation and New Features Guide for FileMaker Pro and FileMaker Pro Advanced

Epson Print Admin

3. RIR 3.1. RIR Regional Internet Registry APNIC Asia Pacific Network Information Centre RIR RIPE NCC Réseaux IP Européens Network Coordination Centre

untitled

untitled

untitled

Mac OS X Server QuickTime Streaming Server 5.0 の管理(バージョン 10.3 以降用)

Lync Server 2010 Lync Server Topology Builder BIG-IP LTM Topology Builder IP Lync 2010 BIG IP BIG-IP VE Virtual Edition BIG-IP SSL/TLS BIG-IP Edge Web

BIG‑IP Access Policy Manager | F5 Datasheet



Windows2000 Edge Components V Edge Components V Java Edge Components

i HTTP Basi

Transcription:

6 : JavaScript 2 : Web Web HTTPS : Web : Web, Internet Week 1 / 23

2 / 23

Web Web : HTTP: ( ) TCP: IP: ( ) Web 3 / 23

Basic (base64 ) ( ) Digest md5 Basic (nonce) hidden <input type="hidden" name="sessionid" value="nnnnn"> POST sessionid=nnnnn Cookie Set-Cookie: sessionid=nnnnn sessionid 4 / 23

Web XSS (Cross Site Scripting) CSRF (Cross Site Request Forgery) 5 / 23

URL http://.../?user=yamazaki ID http://.../?sessionid=nnnnn Referer URL ID hidden POST Referer Cookie POST Cookie (MD5) MD5 MD5 6 / 23

Cookie Cookie + : ID ID ID Set-Cookie: secure cookie https (rails ) 7 / 23

XSS (Cross Site Scripting) : Cookie JavaScript API SQL ( ) 8 / 23

XSS http:/.../?comment=good (JSP): <% String comment=request.getparameter("comment"); %> <div> <%= comment =%> </div> : http:/.../?comment=<script src="http:/.../"> : <div> <script src="http:/.../"> </div> script HTML DOM 9 / 23

CSRF (Cross Site Request Forgery) Session Riding : 10 / 23

CSRF A: GET http:// A/?comment=good cookie B: <a href="http:/.../?comment=bad"> bad JavaScript POST onload Cookie 11 / 23

CSRF ( POST ) POST hidden ID ( hidden ) (OK ) 12 / 23

: JSON JavaScript onerror setter <script src=...> script src JSON JSONP JS setter onerror 13 / 23

: <f,g> f(g(x))=x [ ] A 1 g f 2 g 4 ( ) 5 f B 3 g [ ( )] A B 1 f g 2 f 3 g = 4 + ( ) 5 f 6 14 / 23

: HTTPS HTTPS = HTTP over TLS (Transport Layer Security) HTTP ------ TLS ------ TCP HTTP identify TCP (Web ) (http GET https ) CA identification 15 / 23

TLS ( ) ( ) ID 16 / 23

TLS RFC 2246 (v1.0), 4346 (v1.1), 5246 (v1.2) 1 / 2 (= CA ) 3 4 HTTP 17 / 23

( ) ClientHello --------> <-------- ServerHello <-------- Certificate <-------- ServerHelloDone ClientKeyExchange --------> ChangeCipherSpec --------> Finished --------> <-------- ChangeCipherSpec <-------- Finished Application Data <-------> Application Data ClientHello: Session ID ServerHello: Session ID Certificate: ClientKeyExchange: ( ) ChangeCipherSpec: Finished: ( ) 18 / 23

ClientHello --------> <-------- ServerHello <-------- ChangeCipherSpec <-------- Finished ChangeCipherSpec --------> Finished --------> Application Data <-------> Application Data Session ID ClientHello ServerHello Session ID Session ID 24 http 19 / 23

POODLE(Padding Oracle On Downgraded Legacy Encryption) SSLv3 : 1 P 1...P n C 1...C n 2 Padding +Padding 3 : P i=decrypt(c i) C i 1 : 1 C n Padding +Padding 2 Ci Cn 3 P n =Decrypt(C i ) P n 1 4 P n 1 Padding 1/256 5 6 Decrypt(C i) = P n Pn 1 [ 1 ]! 7 P i =Decript(C i ) P i 1 [ 1 ]!! 8 P i 1 20 / 23

HTTPS 1:TCP 3-way handshake + TLS 3-way handshake 2:https - CSP : Session Resumption (Session Cache) Session Tickets: Stateless OCSP (Online Certificate Status Protocol) Stapling: False Start: ALPN? 21 / 23

EV (Extended Validation): https HSTS (HTTP Strict Transport Security): HTTPS Upgrade Insecure Requests: http https Opportunistic Security for HTTP: HTTP Let s Encrypt: 22 / 23

: HSTS super cookie sub_domain00.domain/ sub_domain01.domain/ sub_domain02.domain/... sub_domain1f.domain/ 32 HTTP 32bit 1 sub domain i HSTS https 32 http 0 https 1 23 / 23

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック