zkat’s diary

技術ブログ

Auditdのaureportをcronで使おうとしてハマる

aureportコマンドをcrontabで実行した際、何度やっても<no events of interest were found>と出力されてしまっていました。 結論としては、--input-logsオプションをつけることで想定通り動作するようになりました。 --input-logs Use the log file location from auditd.conf as input for ana</no>…

SCT(Signed Certificate Timestamp)のLogIDについて

SCTに存在するLogIDがどのように作成されているのか書きたいと思います。 ここで言っているLogIDとは、下記のものです。 google.co.jp-signed-certificate-timestamp-logid 例としてgoogle.co.jpにChromeでアクセスして表示させています。 まずLogIDがなんな…

TLS ExtensionによるSCTの提供について

CT1において、SCT2をクライアントに提供する方法は3つあります。 1. X.509 v3 Extensionによる方法 これは、いろいろなウェブサイトのサーバー証明書で見ることができます。証明書自体にSCTが埋め込まれているものです。 例えばtwitter.comの現時点の証明書…

CT(Certificate Transparency)ログサーバーの可用性

CTログサーバーの可用性を確認できるウェブサイトを見つけました。 作者は、イギリスのNetcraft社(セキュリティ関連の会社)の人の様です。 This website monitors Certificate Transparency log servers to check that they are behaving correctly. ct.gr…

OWASP ZAPでHTTPS通信の中身を確認したい

手順は以下の通り。 ちなみに、得体のしれないルート証明書をインポートすると、 得体のしれないソフトウェアや人に、中間者攻撃を許すことに繋がるので要注意。 1. OWASP ZAPでルート証明書を作成する 「ツール」→「オプション」→「ダイナミックSSL証明書」…

OWASP ZAPでHTTPヘッダを追加したり削除したりする

調査対象ウェブサイトへのHTTPリクエストについて、HTTPヘッダを書き換える手順は下記の通り 1. 書き換え用スクリプトひな形を作成する。 「スクリプト」タブの「HTTP Sender」を右クリックして新規スクリプトのひな形を作成する。 owasp-manipulate-http-he…

Alloyに入門している

Alloyを用いたモデル検査が行えるようになりたくて、勉強をしています。 勉強がてら、「顧客が商品を買う」という挙動についてAlloyで記述してみました。 open util/boolean sig Consumer {} sig Product { price: Consumer -> one Int, bought : Consumer -…

WebTrust基準とBaseline Requirementsの改訂バージョンについて

ブラウザベンダに信用された認証局になる為の一つの要件として、 WebTrust認証を受けていることが挙げられると思います。 WebTrust認証を受けるに値するかは、下記の基準に基づき適切な監査人によって判断されます。 www.webtrust.org 上記の監査基準につい…

InfluxDBの8083ポートにhttpアクセスできない

デフォルトで8083ポートで可視化や管理等できる画面が立ち上がると聞いていたのですが、 バージョン1.3.0からなくなったようです。 github.com 対象機能は、Chronografという別のプロダクトが担うようです。

FREDをインストールしてTLDゾーンのレジストリになる

はじめに タイトルの通り、cz.nic が作っているFRED(Free Registry for ENUM and Domains)をインストールして、適当なTLDゾーンを作ってみたいと思います。 IANAから正式に委任されているTLD*1を使うのは気が引けるので、今回は example を TLDとしてみます…

特定の認証局で発行された証明書の一覧を取得する(crt.shの使い方)

PKI

はじめに CT(Certificate Transperency)の仕組みにより、認証局がどのような証明書を発行したかという情報は調べることができます。 crt.sh というツールを使用して、特定の認証局で発行された証明書の一覧を検索してみたいと思います。 crt.sh 認証局を選ぶ…

Common Lisp からRDAPつかってみる

はじめに RDAP(Registration Data Access Protocol)をCommon Lispから使ってみます。 RDAP(Registration Data Access Protocol)とは RDAPは、Whoisに代わるドメインやIPアドレス等の登録情報を参照するためのプロトコルです。 Whoisの表示は、ドメインレジス…

opensslコマンドで特定の暗号スイートを使用する

PKI

はじめに openssl s_client で connect するときに cipher suites を指定してアクセスする方法をめもします。 使用可能なcipherを取得 下記コマンドにて一覧を取得できます $ openssl ciphers | sed -e "s/:/\n/g" | sort AES128-GCM-SHA256 AES128-SHA AES1…

Common LispのプロジェクトルートをASDFにて取得する

下記で取得可能です。 (asdf:system-source-directory :project-name)

OCSPによる証明書検証をopensslコマンド実行する

PKI

はじめに OCSPにてサーバー証明書の妥当性を検証してみます。検証する対象は、google.comとします。 証明書の取得 まず、google.comに設定されているサーバー証明書と中間証明書を取得します。 取得した証明書をそれぞれ、server.crt と intermediate.crt と…

SNIに非対応のHTTPSサーバーを立ち上げる

PKI

はじめに SNI(Server Name Indication)に非対応のHTTPSサーバーを、検証のために立ち上げる必要がありました。構築の方法をメモします。 うまくいった方法 Python の BaseHTTPServer で HTTPS サーバーを立ち上げる方法です。 肝になるのは、SSLContextオブ…