aureportコマンドをcrontabで実行した際、何度やっても<no events of interest were found>と出力されてしまっていました。 結論としては、--input-logsオプションをつけることで想定通り動作するようになりました。 --input-logs Use the log file location from auditd.conf as input for ana</no>…
SCTに存在するLogIDがどのように作成されているのか書きたいと思います。 ここで言っているLogIDとは、下記のものです。 google.co.jp-signed-certificate-timestamp-logid 例としてgoogle.co.jpにChromeでアクセスして表示させています。 まずLogIDがなんな…
CT1において、SCT2をクライアントに提供する方法は3つあります。 1. X.509 v3 Extensionによる方法 これは、いろいろなウェブサイトのサーバー証明書で見ることができます。証明書自体にSCTが埋め込まれているものです。 例えばtwitter.comの現時点の証明書…
CTログサーバーの可用性を確認できるウェブサイトを見つけました。 作者は、イギリスのNetcraft社(セキュリティ関連の会社)の人の様です。 This website monitors Certificate Transparency log servers to check that they are behaving correctly. ct.gr…
手順は以下の通り。 ちなみに、得体のしれないルート証明書をインポートすると、 得体のしれないソフトウェアや人に、中間者攻撃を許すことに繋がるので要注意。 1. OWASP ZAPでルート証明書を作成する 「ツール」→「オプション」→「ダイナミックSSL証明書」…
調査対象ウェブサイトへのHTTPリクエストについて、HTTPヘッダを書き換える手順は下記の通り 1. 書き換え用スクリプトひな形を作成する。 「スクリプト」タブの「HTTP Sender」を右クリックして新規スクリプトのひな形を作成する。 owasp-manipulate-http-he…
Alloyを用いたモデル検査が行えるようになりたくて、勉強をしています。 勉強がてら、「顧客が商品を買う」という挙動についてAlloyで記述してみました。 open util/boolean sig Consumer {} sig Product { price: Consumer -> one Int, bought : Consumer -…
ブラウザベンダに信用された認証局になる為の一つの要件として、 WebTrust認証を受けていることが挙げられると思います。 WebTrust認証を受けるに値するかは、下記の基準に基づき適切な監査人によって判断されます。 www.webtrust.org 上記の監査基準につい…
デフォルトで8083ポートで可視化や管理等できる画面が立ち上がると聞いていたのですが、 バージョン1.3.0からなくなったようです。 github.com 対象機能は、Chronografという別のプロダクトが担うようです。
はじめに タイトルの通り、cz.nic が作っているFRED(Free Registry for ENUM and Domains)をインストールして、適当なTLDゾーンを作ってみたいと思います。 IANAから正式に委任されているTLD*1を使うのは気が引けるので、今回は example を TLDとしてみます…
はじめに CT(Certificate Transperency)の仕組みにより、認証局がどのような証明書を発行したかという情報は調べることができます。 crt.sh というツールを使用して、特定の認証局で発行された証明書の一覧を検索してみたいと思います。 crt.sh 認証局を選ぶ…
はじめに RDAP(Registration Data Access Protocol)をCommon Lispから使ってみます。 RDAP(Registration Data Access Protocol)とは RDAPは、Whoisに代わるドメインやIPアドレス等の登録情報を参照するためのプロトコルです。 Whoisの表示は、ドメインレジス…
はじめに openssl s_client で connect するときに cipher suites を指定してアクセスする方法をめもします。 使用可能なcipherを取得 下記コマンドにて一覧を取得できます $ openssl ciphers | sed -e "s/:/\n/g" | sort AES128-GCM-SHA256 AES128-SHA AES1…
下記で取得可能です。 (asdf:system-source-directory :project-name)
はじめに OCSPにてサーバー証明書の妥当性を検証してみます。検証する対象は、google.comとします。 証明書の取得 まず、google.comに設定されているサーバー証明書と中間証明書を取得します。 取得した証明書をそれぞれ、server.crt と intermediate.crt と…
はじめに SNI(Server Name Indication)に非対応のHTTPSサーバーを、検証のために立ち上げる必要がありました。構築の方法をメモします。 うまくいった方法 Python の BaseHTTPServer で HTTPS サーバーを立ち上げる方法です。 肝になるのは、SSLContextオブ…