HTML5 Security CheatsheetWhat your browser does when you look away...
4. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当 – その後、企業向けパッケージソフトの企画・開発・事業化を担当 – 1999年から、携帯電話向けインフラ、プラットフォームの企画・開発を担当 Webアプリケーションのセキュリティ問題に直面、研究、社内展開、寄稿などを開始 – 2004年にKCCS社内ベンチャーとしてWebアプリケーションセキュリティ事業を立ち上げ • その他 – 1990年にPascalコンパイラをCabezonを開発、オープンソースで公開 「大学時代のPascal演習がCabezonでした」という方にお目にかかること
命名・「やられWebアプリケーション」(仮) 構築したWebアプリケーションがセキュアかどうかを確かめる方法として、疑似的に攻撃を行うことで問題を発見する「脆弱性診断」があります。脆弱性診断は専門業者が実施することがほとんどだと思いますが、あなた自らが脆弱性診断の技術を身につけることで、セキュアWebアプリケーションについての理解が深まるとか、自社内で脆弱性診断ができるようになるといったこともあるかもしれません。 脆弱性診断の技術を身につける過程では、脆弱性を見つける手法を試したり、診断ツールを試したりする必要がありますが、診断といえど攻撃と同様のことを行うので、気軽に実稼働環境で実験するわけにもいきません。ましてや、他人や他社のWebサイトで試すなどはもってのほかです。 そこで、わざと脆弱性を持たせたWebアプリケーションと、それを動作させる環境が必要になります。 このような環境をわざわ
Webアプリのセキュリティを検討する「Webアプリケーションセキュリティフォーラム(WASForum)」が5月22日、認証と認可に関するイベントを開催した。その中で携帯電話の「かんたんログイン」のセキュリティに関して講演が行われた。 WASFは、もともとPCの一般的なインターネットのセキュリティを対象にしていたが、昨今のスマートフォンの流行などで携帯電話からも通常のインターネットが頻繁に利用されるようになったことから、今回のような考察が行われたという。 かんたんログインに関して講演をしたのは、HASHコンサルティングの徳丸浩氏と、産業技術総合研究所(産総研)の高木浩光氏。 パンドラの箱を開いたキャリア 携帯電話のWebサイト(携帯Web)で一般的に利用される「かんたんログイン」は、iモード(NTTドコモ)やEZweb(au)、Yahoo!ケータイ(ソフトバンクモバイル)で利用されているログ
blog@browncat.org Web, Linux, Ubuntu, Mac, PDA, 携帯電話, プログラミング, ソフトウェア&落書き iptablesのオプションは間違うとひどいことになりますが、うまく動くと素晴らしい。わずか2行でsshへの総当り攻撃を防ぐことが出来る方法。知っている方には何をいまさらですが、不勉強な私は知りませんでした。ネタは以下のリンクです。 TechBlog - How to: Block brute force attacks with iptables(英文) 自宅サーバを立ち上げている方やサーバ管理をされている方は一度や二度はsshへの総当り攻撃を見たことがあると思います。私のところではログインする元がほぼ決まっているので/etc/hosts.allowにSSHで接続を許可するホスト/ネットワークを指定しており、これでほとんど問題ありません。 そ
■ Bluetoothで山手線の乗降パターンを追跡してみた この日記を書き始めてからもう6年になろうとしている。書き始めたきっかけは、RFIDタグのプライバシー問題が理解されないことに焦りを感じたからだった。当時の空気では、RFIDタグは5年後くらいに普及し、しだいにRFIDの埋め込まれた日用品で溢れかえるようになり、10年後くらいにプライバシー問題が顕在化すると目されていた。しかし、6年経った現在、私の靴にRFIDタグは埋め込まれていない。 当時の議論で描かれていたRFIDタグの問題は、無線LANやBluetoothにも共通することであり(MACアドレスがユニークIDとなる)、それらの方が先に普及するかもしれないという予感はあったが、現時点でも、無線LAN機器を持ち歩いている人はごく一部の人に限られている。しかし、Bluetoothはどうだろうか。これまでにも何度か、最近のBluetoo
Netim offers nearly 1,000 geographical (ccTLDs) and generic (gTLDs) extensions. Find the perfect domain name Netim regularly offer discounts on domain names. Some extension start at $1.50 excl.tax for the first year. Discover all of our special offers Whether your website is personal, professional or an online store, you will find the perfect offer for your projects! Discover our web hosting plans
Kevin Fenzi, kevin@tummy.com & Dave Wreski, dave@linuxsecurity.comv1.1.1, 17 March 2000 The Linux Japanese FAQ Project31 March 2000 このドキュメントでは, Linux システムの管理者が遭遇するセキュリティ関連事項についての 一般的な解説を行います. このドキュメントでは, セキュリティに対する一般的な考え方と, Linux システムを侵入者からより安全にする方法の具体例を扱っています. また, セキュリティ関連の情報やプログラムへのポインタも含まれています. 改善, 建設的な批判, 追加, 訂正は歓迎します. フィードバックを著者両方に送ってください. その際にはサブジェクトに「Security HOWTO」という文字列を入れてください. 1. はじめに 1
Snort を IDS として動作させる場合、不正パケットを検出するためのルールセット(シグネチャ)ファイルが必要になります。 Snort は、監視しているパケットにルールセットにマッチするパターンのパケットを見つけると設定された何らかのアクションを起こします。 クラッカーの不正アクセスパターンは、コンピュータウイルスと同様、一定ではないためルールセットは常に最新の常態に保つ必要があります。 ルールセットの種類とライセンスの変更 2005年 3月 9日付けで Snort ルールセットのライセンス形態が変更され、以前紹介していた方法ではルールセットを更新する事が出来無くなりました。 参照 => http://www.snort.org/rules/ ルールセットは大きく従来のコミュニティベースで提供されるものと VRT(セキュリティ専門家チーム)により検証されたルールセットに分けられました。
Tripwireに続き、ネットワーク型IDSである「Snort」の導入方法を紹介する。Snortを導入することにより、ホスト型IDSでは対応できない攻撃も検出可能になる。 Snortは、以前紹介した(第7回 Linuxで使える侵入検知システム(IDS))ネットワーク型のIDSに分類されるツールです。ネットワーク型IDSは、ネットワーク上を流れる通信の内容を監視し、攻撃を受けているか否かを検出します。ポートスキャンなどは「攻撃」というよりも「攻撃のための事前調査」とした方が表現としては適切かもしれません。ネットワーク型IDSは、このポートスキャンなども検知できます。また、疑わしい通信を検出することで、侵入などの被害を未然に防ぐことが期待できるのです。 導入方針の決定 一般的に、ネットワーク型IDSは専用機を用意して、ネットワーク上を流れる通信を監視するものです。どこを監視対象とするかによって
Debian Security Advisory 5730-1 Posted Jul 16, 2024 Authored by Debian | Site debian.org Debian Linux Security Advisory 5730-1 - Several vulnerabilities have been discovered in the Linux kernel that may lead to a privilege escalation, denial of service or information leaks. tags | advisory, denial of service, kernel, vulnerability systems | linux, debian Download | Favorite | View Ubuntu Security
日頃より楽天のサービスをご利用いただきましてありがとうございます。 サービスをご利用いただいておりますところ大変申し訳ございませんが、現在、緊急メンテナンスを行わせていただいております。 お客様には、緊急のメンテナンスにより、ご迷惑をおかけしており、誠に申し訳ございません。 メンテナンスが終了次第、サービスを復旧いたしますので、 今しばらくお待ちいただけますよう、お願い申し上げます。
警告 インターノット崩壊論者の日記などをみて、 こちらにやってこられた方へ port random 化対策はおすみでしょうか。 DNS はお読みになったでしょうか。 DNS の基礎を理解せずに、攻撃手法を理解しようとするのは時間の無駄です。 DNS/キャッシュサーバへの毒盛りもぜひ読んでください。 referral, glue という用語をおわかりですか。 この先を読むにはこれらを理解していないとむずかしいと思います。 DNS/攻撃手法の説明 現状の DNS (特にキャッシュ)にはさまざまな脆弱性(の歴史)が存在します。 DNS の仕様はデータの構成法が中心で、もともと動くかどうかさえ分らなかった時代のものです。 悪人はいないという前提で出発しています。 BIND (named) の実装が事実上の仕様となっています。 BIND の歴史は DNS の不良の歴史と言えます
文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2008-08-18 23:56 Derek Callaway氏のゲスト寄稿 この記事は、過去一ヶ月間のBIND名前サーバの更新状況に関する近似を提示することだ。最近の更新は、Dan Kaminsky氏のDNSキャッシュポイズニング脆弱性に対応するために行われた可能性が高い。この調査を行ったのは、一般に対してUS-CERTが最初にこの脆弱性の性質とパッチが提供されていることを警告してから1ヶ月経過した状況で、どれだけのBIND名前サーバが更新されているかを知りたかったからだ。 Kaminsky氏はBlack Hat Las Vegas 2008でのDark Readingのインタビューの中で、Fortune 500企業の70%がパッチを適用したと見積もっていた--しかし、インターネットの残りの部
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く