タグ hashdos
人気順 10 users 50 users 100 users 500 users 1000 usersHashDoS脆弱性との戦い! Rubyコミッター・卜部昌平が明かすプログラム堅牢化のノウハウ - エンジニアHub|若手Webエンジニアのキャリアを考える!
2018 - 01 - 11 HashDoS脆弱性との戦い! Rubyコミッター・卜部昌平が明かすプログラム堅牢化のノウハウ 過去、HashDosの影響を受けたRuby。言語開発者はいかにしてこうした問題に対応してきたのでしょうか。コミッターである卜部氏の貴重な記録を公開します。 Ruby 卜部昌平 セキュリティ Tweet 2011年の末頃、 HashDoSという脆弱性 が公表され、Rubyもこ... 続きを読む
PHPのJSON HashDosに関する注意喚起 | HASHコンサルティングオフィシャルブログ
4年前にHashDos(Hash Collision Attack)に関する効率的な攻撃方法が28C3にて公開され、PHPを含む主要言語がこの攻撃の影響を受けるため対策を実施しました。しかし、PHP以外の言語が、ハッシュが衝突するデータを予測困難にする対策をとったのに対して、PHPは、GET/POST/COOKIE等の入力データの個数を制限するという対症療法を実施しました。このため、PHPにはHa... 続きを読む
クイックソート殺し - d.y.d.
クイックソート殺し こういう系統の話。 Quicksort Killer (kazoo04さん) qsortを撃墜し(最悪ケースを与え)てみた。 (qnighyさん) A Killer Adversary for Quicksort (shinhさんの解説) Webアプリケーションに対する広範なDoS攻撃手法(hashdos)の影響と対策 (徳丸さんの解説) ただのクイックソートは要素数 N の配... 続きを読む
徳丸浩の日記: Cookieによるhashdos攻撃と対策
2012年1月19日木曜日 Cookieによるhashdos攻撃と対策 このエントリでは、Cookieを用いたhashdos攻撃の可能性について検討し、実証結果と対策について報告します。 はじめに既に当ブログで報告の通り、hashdosと呼ばれる攻撃手法が公表されています。HTTPリクエストのパラメータ名に対するハッシュ値を故意に同一にした(衝突させた)ものを多数(数万程度)送信することにより、W... 続きを読む
404 Blog Not Found:Algorithm - 連想配列の実装としてのハッシュはオワコン?
つまり「終わったコンテナ」。 以前からうすぼんやりと考えて来た危惧が、すこしはっきりと見えてきた。 徳丸浩の日記: Webアプリケーションに対する広範なDoS攻撃手法(hashdos)の影響と対策 もうそろそろハッシュ(テーブル)以外の手段の連想配列の実装手段を本格的に模索するべきではないか、と。 そのデータ構造は、君の魂を差し出すに足るものかい? 連想配列(Associative array)が... 続きを読む
Ruby 1.8.7 の hashdos 対応による挙動の変更点 - #生存戦略 、それは - subtech
http://blog.tokumaru.org/2011/12/webdoshashdos.html Ruby 1.8.7-p356 以前の人は p357 もしくは 1.9 にとっととあげよう、という話しなんだけど p357 にしたら一部テストがこけた。p357 ではハッシュの seed が起動毎に異なる*1ので for i in {1..10}; do ruby-1.8.7-p357 -e '... 続きを読む
徳丸浩の日記: Webアプリケーションに対する広範なDoS攻撃手法(hashdos)の影響と対策
2011年12月30日金曜日 Webアプリケーションに対する広範なDoS攻撃手法(hashdos)の影響と対策 28C3(28th Chaos Communication Congress)において、Effective Denial of Service attacks against web application platforms(Webプラットフォームに対する効果的なサービス妨害攻撃)と題... 続きを読む