カテゴリー:セキュリティ
-
【セキュリティ】「無線ネットワーク」に対する攻撃
01.10
無線ネットワークを攻撃する目的 不正使用(ただ乗り) 盗聴 バックドア 不正使用 インターネット黎明期に最も攻撃者が注力した攻撃。当時は従量課金制だったので使えば使うほど料金が高くなってしまった。今は料金が固定…
-
【セキュリティ】「Dos攻撃」について
01.10
Dos攻撃とは? 「Denial of Service」の略です。 目的 最大の目的は、サービスの利用者ではなくサービスの提供者側に損失を与えること。 タイプ 帯域幅消費タイプ ネットワーク帯を攻撃者のパケットで埋め尽くす攻撃で…
-
【セキュリティ】「パスワードクラッキング」の流れ
01.10
知識ベース認証では、「アカウント」と「パスワード」どちらもわかった上で認証を突破します。 アカウント メールアドレスを特定して入手します。「アカウント名@ドメイン」となっているケースが多いので、@の前をアカウント名としてログインを試みま…
-
【セキュリティ】「脆弱性情報の収集」について
01.10
種類 開発や販売しているベンダーが公開しているもの 信頼性は高い。 公的機関によって運営されているもの 信頼性は高い。 セキュリティ企業や団体が公開しているもの ハッカーや有志によって収集・公開されているもの 代表的な脆弱性デ…
-
【セキュリティ】「サーバー情報の収集」について
01.10
よく使われるツール ping ICMPを利用して対象サーバーの生存確認を行えます。 traceroute(Windowsの場合はtracert) ICMP(Windowsの場合)やUDP(Linuxの場合)を利用して対象サーバーまで…
-
【セキュリティ】「公開情報」について
01.10
企業が公開している情報には種類があります。 自ら公開している情報 URL ドメイン(サブドメイン) これを入手できれば、派生する様々な情報が取得できます。 DNS情報(ネームサーバーなど) 担当者情報(名前、所属、電…
-
【セキュリティ】「ハッキング」の流れ
01.10
事前準備 些細な情報でも攻撃の役に立つかもしれないので情報を集めまくります。その後に情報を整理します。 偵察 公開情報の収集 公開されている情報なので法に触れることはないです。企業がネットワークを利用する場合や投資をする場合などは外…
-
【セキュリティ】「MITM」について
01.01
「MITM(Man in the middle):中間者攻撃」とは? ユーザーとサービスの間にサイバー攻撃者が割り込んで悪意のある動作を行う攻撃。古くは「バケツリレー攻撃」とも呼ばれています。一般的に、公衆LANを利用する場合や、ブラウザ…
-
今は、「Let's Encrypt」などの無料の認証局が登場していますが、従来の有料の認証局とは何が違うのでしょうか。 ブラックリストの対応の違い SSL証明書にはブラックリストがあってそこに引っかかると手動で対応してくれる認証局はある…
-
【セキュリティ】「サーバー証明書」発行までの流れ
12.29
1.SSL/TLSサーバーで秘密鍵を生成する。 なお、負荷分散装置や、SSLアクセラレーターなどを使う場合は、それらで秘密鍵を生成します。 2.作成した秘密鍵を元に「CSR(Certificate Signing Request)」を作…