API認証署名の基本と実践ガイド
目次
加解密の基礎
暗号化方式の分類
対称暗号技術
- 非対称暗号技術(RSAアルゴリズム)(デジタル証明書)
- ```
* シナリオ1:公開鍵で暗号化、秘密鍵で復号
シナリオ2:秘密鍵で署名:デジタル署名、公開鍵で検証
ハッシュアルゴリズム(MD5)
* APIテストツール
- Postman
- Jmeter
- API認証署名の原理
- ```
* 認証署名とは何か
なぜ認証署 ...
6月26日 20:41 投稿
Codex徹底解説:開発者が知っておくべき8つの重要な質問
Codex徹底解説:開発者が知っておくべき8つの重要な質問
【無料ダウンロードリンク】codexは開発者向けのチャット駆動型開発ツールで、コードの実行、ファイル操作、イテレーションが可能です。 プロジェクトURL: https://gitcode.com/GitHub_Trending/codex31/codex
Codexの使用中に疑問が浮かびましたか?本稿では、基本的な概念から高度な設定まで、ユーザーが最もよく ...
6月24日 19:41 投稿
Guzzleログのセキュリティ強化ガイド: データ漏洩を防ぐ実践手法
Webアプリケーション開発においてHTTPクライアントはサービス間連携の核となる存在です。PHPの代表的HTTPクライアントであるGuzzleはAPI呼び出しやデータ取得など幅広く利用されていますが、ログ出力におけるセキュリティ対策が不十分なケースが多いため、本記事ではログのデシリアライズ手法を解説します。
Guzzleはミドルウェア機構を通じた柔軟なログ機能を提供してい ...
6月24日 19:18 投稿
Upload-Labs チャレンジの解説
環境構築
Upload-Labs の動作環境は以下の通りです。
OS: Windows, Linux
PHPバージョン: 5.2.17(他のバージョンでは一部のレベルがクリアできない可能性があります)
PHPモジュール: php_gd2, php_exif(特定のレベルで必要)
Apache: モジュール方式で接続
プロジェクトURL: https://github.com/c0ny1/upload-labs
phpstudyを使用して簡単にセットアップでき ...
6月24日 16:13 投稿
強網杯2024 Web Write-up: pyblockly問題の解法
今回はwgpsecチームと共に参加しました。再現環境がないためwrite-upを作成できず、国内の大会に初参加したため少し手間取りました。pyblocklyについて詳しく解説します(pyblocklyには問題解決の記録が残っています)
wgpsecのwrite-upはこちら:https://mp.weixin.qq.com/s/NzZ-ZJlyCh2sk3vbNbswiw
Web部門はほぼ完全攻略、師匠たちのスキルに感服しました
このようなPyt ...
6月24日 00:09 投稿
安全风险的文件下载 - ピカチュウ
概要:
多くのWebシステムにおいてファイルダウンロード機能が実装されている。通常、ダウンロードリンクをクリックするとバックエンドにダウンロード要求が送信され、その要求にはダウンロード対象のファイル名が含まれる。バックエンドはこのファイル名を受け取り、対応するファイルをブラウザにレスポンスしてダウンロードを完了させる。しかし、バックエンド側で受け取 ...
6月22日 19:30 投稿
Elasticsearchクラスタ保護のためのINFINI Gatewayを用いた不正クエリブロック手法
本記事ではINFINI Gatewayを使用してElasticsearchクラスタに対して不正なクエリをブロックする手法について解説します。この手法はOpensearchやEasysearchにも適用可能です。
問題の背景
ElasticsearchのOOM(メモリ不足)問題の多くは、以下の2種類のクエリパターンに起因しています:
クラスタの処理能力を超えるクエリスループット
メモリを過剰に消費する不正 ...
6月20日 21:27 投稿
【ペネトレーションテスト】 Vulnhub JANGOW: 1.0.1
ペネトレーション環境
攻撃機: IP: 192.168.149.128(Kali)
ターゲットマシン: IP: 192.168.149.129
ターゲットマシンダウンロード先: https://www.vulnhub.com/entry/jangow-101,754/
ペネトレーションの実施
一、 IPおよびポート情報の取得
nmapを使用して同セグメントのIPをスキャンします。VMwareを使用している場合、スキャンできないことがあります。その場合 ...
6月17日 23:59 投稿
FeFETを用いたピクセルレベルの暗号化センサー:原理、設計、およびセキュリティ評価
1. FeFETに基づくピクセルレベルの暗号化センサーの設計解析
現代のIoT時代において、画像センサーはスマートデバイスの中心的なコンポーネントとなっています。スマートフォンから自動運転車、セキュリティ監視システム、医療画像まで、カメラは大量のビジュアルデータを生成しています。しかし、従来のCMOS画像センサーのセキュリティアーキテクチャには根本的な欠 ...
6月17日 19:08 投稿
Fastjsonのデシリアライゼーション脆弱性とその対策
Fastjsonのデシリアライゼーション機構
FastjsonはAlibabaが開発した高性能なJSON処理ライブラリで、JavaオブジェクトとJSON文字列間の相互変換をサポートしています。
基本的な動作原理
public class BasicExample {
public static void main(String[] args) {
String jsonStr = "{\"@type\":\"com.example.User\",\"username\":\"test\",\"age\":25}";
...
6月13日 23:50 投稿