ウノウラボ Unoh Labs: 脆弱性検知ツールratproxyをCygwin上で動かしてみました
こんにちは!やまもと@テスト番長です。 先日Googleからプロキシ型の脆弱性発見ツール「ratproxy」が公開されました。 これは触らないと!ということでCygwin上で動かしてみました。 ratproxy http://code.google.com/p/ratproxy/ cc1:error: unrecognized command line option "-Wno-pointer-sign" ので、 Makefileの23行目 CFLAGS = -Wall -O3 -Wno-pointer-sign -D_GNU_SOURCE のところから-Wno-pointer-sign を消して再チャレンジします。 すると今度はこの警告が出ます。 *** WARNING: flare-dist/flare binary is not operational. *** Plea
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
IPAがSQLインジェクション攻撃検出ツールを無償提供したらしい: ある SE のつぶやき
「SQLインジェクション攻撃をログから検出」、IPAが無償ツールを公開:ITpro ログを基にSQLインジェクションの痕跡を検出、IPAが無償検査ツール - @IT IPAが、WebサーバのログからSQLインジェクション攻撃があったか検出するツールである「iLogScanner」を無償提供したとのこと。IISやApacheのログが解析対象になります。 100%攻撃を検出できるわけではなく、誤検出の可能性もあるようですが、それでも利用価値は高いのではないでしょうか。 @ITによると、将来的にはクロスサイトスクリプティングやOSコマンドインジェクションなどの検出機能も追加予定とのことで期待したいですね。 iLogScannerは、以下より実行可能です。 情報処理推進機構:情報セキュリティ:脆弱性対策:ウェブサイトの脆弱性検出ツール http://www.ipa.go.jp/security/v
パスワードの強度をチェックするツールPassword Meter | 秋元@サイボウズラボ・プログラマー・ブログ
Password Meterは、パスワードの強度を独自の評価式で測定してくれるサービス&スクリプト。 たまにネットサービスでパスワードを決めようとするときにその強度を示してくれるサイトがあったりするけど、ああいうのを単体にしたようなものだ。 今評価しているのは、純粋な文字種やその規則性の判定だけで、辞書にあるかどうか、といった要素までは入っていない。 このチェッカプログラム自体(Javascript)もGPLで配布されているので、自分用に設置したり、改造したりすることができる。自分のサービスのユーザ登録フォームに使って、よりわかりにくいパスワードを設定してもらうように誘導したりできるかもしれない。 [追記] リンク忘れでした。ご指摘ありがとうございます via del.icio.us/popular この記事は移転前の古いURLで公開された時のものですブックマークが新旧で分散している場合が
「安全なウェブサイトの作り方 改訂第3版」を公開--IPA/ISEC
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます IPA/ISEC(独立行政法人 情報処理推進機構 セキュリティセンター)は3月6日、「安全なウェブサイトの作り方 改訂第3版」を公開した。ウェブサイトの開発者や運営者がセキュリティを考慮して実装できるようにすることを目的とした資料で、無償でダウンロードできる。 「安全なウェブサイトの作り方」では、IPAが届出を受けた脆弱性関連情報をもとに、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げている。改訂第3版では、実践的な脆弱性対策の普及促進のため、ウェブサイトに関する届出の約7割を占めているSQLインジェクションとクロスサイトスクリプティングの脆弱性に関して、具体的な8つの「失敗例」を第3章として追加した。 また、第1章
SecTools.Org Top Network Security Tools
SecTools.Org: Top 125 Network Security Tools For more than a decade, the Nmap Project has been cataloguing the network security community's favorite tools. In 2011 this site became much more dynamic, offering ratings, reviews, searching, sorting, and a new tool suggestion form. This site allows open source and commercial tools on any platform, except those tools that we maintain (such as the Nmap
cyano: HTTPSからHTTPのページに移動する際にIEのセキュリティー警告を回避できることについて
前のエントリ「HTTPSの認証ページから認証後、HTTPのページへセキュリティーの警告無しにリダイレクトする方法」 を書いたところ、「セキュリティーの警告を回避するようなことをユーザーフレンドリーというのはいかがなものかと」というようなトラックバック、はてなブックマークコメントなどを頂きました。 たしかに警告を回避することが「ユーザーフレンドリー」というのは言い過ぎだったと思います。でも以下のようなことも考えていただきたいのです。 たとえば、現状IEでセキュリティー警告が出ないようにするには、パスワードを平文(HTTP)で流すか、ログイン後も全ページでHTTPSな状態を保たないといけないわけですが、そうなるとSSL処理のサーバー負荷がかかってくるわけですよね。秒間数百リクエストもあるサイトになってくるとSSLアクセラレーターなどを導入しないとレスポンスがありえないぐらい遅くなって、ユーザエ
Windows のパスワードを解析するツール(取扱注意) | alectrope
主にその日遊んだことのメモ、まとめなどの外部記憶。おそらくこれからもずっと準備中。 for mobile : http://alectrope.ddo.jp/mt4i/ ※ 注意。このツールを使用して他人のPC のパスワードを解析する行為は不正アクセス禁止法、あるいはその他の法律(コメント欄参照) で処罰の対象となると思われますので、絶対にそのような用途に使用してはいけません。この記事はそのような行為から自分のPC を守る事を目的としています。 Tech-Security » Ophcrack 2.1 - LiveCD (Linux) & 2.1 Install (Win) http://blog.tech-security.com/?p=15 「Ophcrack 2.1 - LiveCD - にわか鯖管の苦悩日記 _| ̄|● (2006-02-14)」 より。 Windows のパ
ジャパンネット銀行がワンタイム・パスワードを採用,利用者全員が対象
ジャパンネット銀行は1月26日,ネットバンキングの取引認証にワンタイム・パスワードを採用することを発表した。同行の口座利用者の全員(およそ130万人)が対象。9月からはワンタイム・パスワードによる認証に統一し,乱数表(IDカード)を使った従来の認証方法は利用できなくなる。なお,ワンタイム・パスワードの生成には,RSAセキュリティのハードウエア・トークン「SecurID」を採用。利用者全員に配布する。 ジャパンネット銀行によれば,ネットバンキングの取引認証をトークンによるワンタイム・パスワードに統一するのは国内初の試みであるという。また,RSAセキュリティによれば,利用者全員にハードウエア・トークンのSecurIDを配布するのは世界でも初めてだという。 トークンは5月ごろから順次配布し,9月ごろをめどに完了する予定。なお,今回の取引認証の変更をはじめとするセキュリティ・インフラの強化ならびに
Webシステム開発でセキュリティが軽視される理由 - @IT情報マネジメント
Webシステムでは、アプリケーションレベルでのセキュリティ対策が不可欠であるにもかかわらず、軽視されがちだ。この現状を改善する方法を考える。 昨今の個人情報などに対する不正アクセス関連事件では、Web経由で提供されているアプリケーション(ここではWebシステムと呼ぶ)のセキュリティ上の欠陥に付け込まれる例が多発している。この種の不正アクセスからWebシステムを守るには、ファイアウォールなどの事後的な、外付けのセキュリティ対策だけでは不十分である。システムを開発する時点で、セキュリティ上の欠陥が生じないようにしなければならない。 一般的なWebシステムでは、開発作業が外部に委託されるケースが多い。このため、開発提案を依頼する(RFP)段階において、セキュリティ対策を含めた提案をしてもらうべきである。セキュリティ対策が明示的な形でシステム要件に含まれないと、受注側で対策を施すインセンティブが働
高木浩光@自宅の日記 - 要約版:「サニタイズ言うなキャンペーン」とは
■ 「逆」にしたERBが登場 27日の「(略)とかERBとか、逆だったらよかったのに」の件、大岩さんが、逆にしたERB改造版を作ってくれた。 自動quoteつきERBの実験, おおいわのこめんと (2005-12-29) さて、使い勝手はどうだろうか。 ■ 要約版:「サニタイズ言うなキャンペーン」とは 27日の日記「『サニタイズ言うなキャンペーン』とは何か」は、いろいろ盛り込みすぎたせいか思ったよりわかりにくいものになって いるらしいので、結論から順に整理しなおしてみる。 結論: まず「サニタイズ」という言葉を使うのを避けてみてはどうか。正しく説明することの困難から逃げようとしないで。 例外1: 万が一に脆弱性があるかもしれないことを想定しての保険として、CGIの入力段階でパラメタを洗浄することを、サニタイズと言うのはかまわない。 例外2: 既存のシステムに応急手当としてCGIの入力段階で
高木浩光@自宅の日記 - ASPとかJSPとかPHPとかERBとか、逆だったらよかったのに
■ プログラミング解説書籍の脆弱性をどうするか 印刷されて流通する書籍に脆弱性がある、つまり掲載されているサンプルコードにズバリ脆弱性があるとか、脆弱性を産みやすいコーディングスタイルを身につけさせている解説があり、それが脆弱なプログラマを生産し続ける根源になっている問題は、「なんとかしないといけないねえ」と以前から言われてきた。 ソフトウェア製品の脆弱性は、指摘があればパッチが提供されたり修正版に差し替えられたりするが、書籍の脆弱性はどうか。正誤表が差し込まれるとか、回収する措置がとられるかというと、それは望めそうにない。言論には言論で対抗すればよいということになるだろうか。 久しぶりにいくつかの書籍について調べてみた。先月園田さんの日記などで比較的評判良く紹介されていた2冊を読んだ。 山本勇, PHP実践のツボ セキュアプログラミング編, 九天社, 2004年6月 GIJOE, PHP
@IT:Wabアプリケーションファイアウォールの必要性 第1回
機密情報に合法的に近づけるWebアプリケーションを守れ:Webアプリケーションファイアウォールの必要性(1)(1/3 ページ) 「SQLインジェクション」や「クロスサイトスクリプティング」という用語に聞き覚えはないだろうか。セキュリティに関連する用語であることを知る人は多くても、詳細な説明をできる人はまだ少ないかもしれない。どちらもWebアプリケーションの脆弱性を指す用語である。 個人情報の保護に関する法律(個人情報保護法)の施行によって、より多くの注目を集めるようになった個人情報漏えいに関するニュースが毎日のように流れている。漏えいした個人情報が、もしWebサイトから盗み出されたものであれば、原因はSQLインジェクションであった可能性がある。 この連載では、Webアプリケーションの脆弱性、攻撃手法の実例を挙げて解説するとともに、その脆弱性を防御する装置として市場に現れたWebアプリケーシ
多様化するWebアプリケーションへの攻撃
第1回「機密情報に合法的に近づけるWebアプリケーションを守れ」では、「Unvalidated Input(許可されていない入力)」における「Hiddenフィールドマニピュレーション」の手法について説明した。いままでアプリケーションセキュリティに携わらなかった方にも、Webサイトが攻撃されるメカニズムが、意外に単純なものであることが理解してもらえたと思う。 前回の内容に対して、周囲からいくつか質問をもらった。「こんなこと書いていいのか?」というものである。つまり、誰もが簡単に攻撃を行えることを示すことによって、かえって被害を増加させるのではないか、という懸念を持たれたわけだ。今回の記事では、より多くの攻撃手法を説明していくため、本論に移る前にこういった質問に回答しておきたい。 私たちはすでに本連載で記しているような脅威の中にいる。それは、Webアプリケーションセキュリティに携わったことのあ
やねうらお―よっちゃんイカを買いに行ったついでに家を買う男 - 危険なwebプログラミング
いまや、デザイナーですら、phpを使う時代になった。猫も杓子もphpである。以前は、「htmlが書けなきゃwebデザイナーじゃないよね」と言われていたのが、次第に「cssも書けなきゃ」「JavaScriptぐらい読めなきゃ」「phpを使えなきゃ」と、敷居があがってきた。webデザイナーの人たちも大変である。 phpは、確かに手軽に使える言語であり、いままでプログラミングに携わったことのない人であっても少し勉強すれば簡単なプログラムが書けてしまう。まして、C++やJavaで鍛えあげられたプログラマなら見た瞬間使えると言っても過言ではない。 しかし、セキュリティを確保することはそう簡単な問題ではない。このたび、ソシム株式会社から発売になった「PHP サイバーテロの技法 攻撃と防御の実際」(asin:4883374718)だが、この本は素晴らしい。現状知られているメジャーな攻撃方法14種類につい
NHKとリニアと原発の関係。- セキュリティホール memo
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。 このページの情報を利用される前に、注意書きをお読みください。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ウェブサイトの攻撃兆候検出ツール iLogScanner | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
lockdown.co.uk