正規表現のアルゴリズムを攻撃するDoS攻撃のReDoSを可能な限り回避する方法を考えてみます。

いつかは忘れるくらい前に正規表現のアルゴリズム自体を利用してDoS攻撃を行うReDoSが発表されていました。今まで気にしていなかったのですが、検索しても日本語のページが出てこないようでした。詳しく知るためのリンクなどを紹介します。

セキュリティ問題のほとんどはインジェクション問題と考えることができます。インジェクション問題として考えられるセキュリティ問題のモデル化を考えます。 実際のセキュリティ問題は多種多様で非常に複雑ですが、シンプルなモデルで考えると理解り易く、多くのセキュリティ問題を体系的に理解できます。

最近は標的型攻撃の話題で持ち切りですが、もし自分が自分に標的型攻撃を行うならどうするか？紹介します。

Webシステムには様々なリスクがあります。より安全に利用するためのTipsを紹介します。 他の方も普通にこれから紹介する方法を使ってWebシステムにアクセスしている、と思っていたのですがそうでもないようです。これから紹介する方法でリクエストフォージェリやクロスサイトスクリプティングなどのリスクを排除／軽減できます。

リクエストフォージェリを再考してみたいと思います。リクエストフォージェリには SSRF（サーバーサイドリクエストフォージェリ） CSRF（クロスサイトリクエストフォージェリ） XXE(XMLエクスターナルエンティティ） などがあります。これらは「リクエスト」を「偽装」（フォージェリ）する攻撃です。名前からは直感的にどのような攻撃なのかよく解らないですが、「リ…

Fedora22用のPhalcon RPMパッケージを作ったのでダウンロードできるようにしておきます。

前回、インジェクション攻撃の基本パターンを紹介したのでイレギュラーな例を紹介します。 言語の機能としてシリアライズされた”データ”からオブジェクトを生成（PHPの場合、unserialize関数）したり、呼び出すメソッド／関数を指定できる機能（PHPの場合、call_user_func*関数／call_method*関数など）を使ったりすると意図しないメソッ…

インジェクション脆弱性の発生原理は簡単です。エンジニアではないマネージャー向けに作った資料を基に原理を紹介します。 インジェクション脆弱性は、その種類に関わらず原理は同じです。原理が同じということは、対策も同じです。一つ一つのインジェクション脆弱性がどのように作られ、攻撃されるのか？は少しずつ異なりますが、基本的な部分は同じです。別々に考えるより、一まとめに…

岡山大学大学院のビジネスマインド養成講座の講義資料を公開します。