完璧なCRIME？　新たなHTTPS Webハイジャック攻撃を説明〜BEASTieボーイズが巧妙なログイン・クッキーの取得を明らかに（The Register）

「攻撃はパケットを盗聴し、送信されるリクエストのサイズを獲得することができる。［ファイル名］パスを変えることによって、攻撃者はリクエスト・サイズを最小限に抑えようとすることができる。

国際 TheRegister

21 views

2012.9.21 Fri 8:30

ハッカーが、HTTPS接続によって保護されたオンラインバンキングやショッピングなど、暗号化されたWebトラフィックをハイジャック可能にする新たな攻撃の詳細が明らかになった。

いわゆるCRIMEテクニックは、ユーザーがWebサイトとセキュアなセッションを開始する際に作成される認証クッキーを、脆弱なWebブラウザにリークさせるよう誘い込むものだ。いったんクッキーを獲得すると、そのサイトで犠牲者のアカウントにログインするため、ハッカーにより利用される…

※本記事は有料版に全文を掲載します

（翻訳：中野恵美子）
略歴：翻訳者・ライター

《ScanNetSecurity》

特集

PageTop

アクセスランキング

ランキングをもっと見る

PageTop

完璧なCRIME？　新たなHTTPS Webハイジャック攻撃を説明〜BEASTieボーイズが巧妙なログイン・クッキーの取得を明らかに（The Register）

関連記事

Windows PCから容易に盗まれるパスワード・ヒント〜もしもし、暗号化した方がいいのでは（The Register）

SSL BEASTieボーイズが引き続き「CRIME」Web攻撃を開発〜邪悪な通信（The Register）

TrustwaveがSSL監視証明書の作成を認める〜上司のスタッフに対するスパイ行為は誤りと語る（The Register）

Microsoftからの12月の修正パッチにBEAST対応はなし～GoogleとAdobeも修正ラッシュ（The Register）

特集

アクセスランキング

スマートフォンアプリ「くら寿司公式アプリ」に証明書検証不備の脆弱性

マイクロソフトが 5 月のセキュリティ情報公開、CVSS 基本値が 9.8 以上と高いスコアの脆弱性が 4 件

セキュリティ統制構築セミナーを開催（NTTデータ・セキュリティ、TDCソフトウェアエンジニアリング）

2位とトリプルスコア～ AnthropicバグバウンティプログラムでGMO Flatt SecurityのRyotaK氏が1位を記録

AeyeScan blog 第14回 AI に EC サイトを作らせてセキュリティスキャンにかけたら「動くけど守れない」コードだった

関連記事

Windows PCから容易に盗まれるパスワード・ヒント〜もしもし、暗号化した方がいいのでは（The Register）

SSL BEASTieボーイズが引き続き「CRIME」Web攻撃を開発〜邪悪な通信（The Register）

TrustwaveがSSL監視証明書の作成を認める〜上司のスタッフに対するスパイ行為は誤りと語る（The Register）

Microsoftからの12月の修正パッチにBEAST対応はなし～GoogleとAdobeも修正ラッシュ（The Register）

特集

アクセスランキング

スマートフォンアプリ「くら寿司 公式アプリ」に証明書検証不備の脆弱性

マイクロソフトが 5 月のセキュリティ情報公開、CVSS 基本値が 9.8 以上と高いスコアの脆弱性が 4 件

セキュリティ統制構築セミナーを開催（NTTデータ・セキュリティ、TDCソフトウェアエンジニアリング）

2位とトリプルスコア ～ AnthropicバグバウンティプログラムでGMO Flatt SecurityのRyotaK氏が1位を記録

AeyeScan blog 第14回 AI に EC サイトを作らせてセキュリティスキャンにかけたら「動くけど守れない」コードだった

スマートフォンアプリ「くら寿司公式アプリ」に証明書検証不備の脆弱性

2位とトリプルスコア～ AnthropicバグバウンティプログラムでGMO Flatt SecurityのRyotaK氏が1位を記録