デブサミ2010 で『自分でできるWebアプリケーション脆弱性診断』というテーマで講演 - うさぎ文学日記
2月18日、19日に東京・目黒雅叙園で開催される翔泳社主催の Developers Summit 2010 で講演させて頂きます。 私の出番は、2010年2月19日(金)13:10〜14:00の[Web]のコマで『自分でできるWebアプリケーション脆弱性診断』というテーマで話す予定です。 Webアプリケーションのセキュリティ上の問題を見つける「脆弱性診断」というサービスがあります。しかし、診断はツールによる自動化が難しいため、決して安価なサービスではありません。必要性は感じていても受けていないことも多いのではないでしょうか。それならば自分でやってしまいましょう! 本セッションでは、フリーウェアなどを使って納得のいく脆弱性診断を自分でできる方法をご紹介します。どのように診断を実施すればいいか、脆弱性判定の基準は何かといったことをお話しします。 http://www.seshop.com/ev
2009-10-19
すでにハッカージャパンの新刊が発売中です!今月号ではセキュリティ&プログラミングキャンプ2009密着リポートをid:TAKESAKOさんと書いています。キャンプ卒業生の皆さんお元気ですか?そういえばボチボチ、キャンプキャラバンの時期ですね。 Hacker Japan (ハッカー ジャパン) 2009年 11月号 [雑誌]発売元: 白夜書房レーベル: 白夜書房スタジオ: 白夜書房メーカー: 白夜書房価格: ¥ 1,800発売日: 2009/10/08posted with Socialtunes at 2009/10/19 今月はNmap特集! 超有名なポートスキャンツールのNmapですが、べたなSYNスキャンでしか使ったことがない諸兄は是非一読頂きたいところです。Nmapを使って自動処理や脆弱性診断を行ってくれるNSE(Nmap Scripting Engine)の説明や、ファイアウォール
MD5を解析するWebのサービス - うさぎ文学日記
MD5が脆弱と言われていて、もう使っちゃダメと烙印を押されていても、さすがにハッシュ値から逆算して解析するアルゴリズムが存在するわけもなく、解析にはレインボーテーブルを使っています。レインボーテーブルというのは、平文とそのハッシュ値をDBのテーブルに格納しておいて、ハッシュ値で検索するというテクニックです。(この場合はレインボーテーブルじゃなくて、ただの平文とハッシュ値のテーブルかも。 参照レインボーテーブル - Wikipedia) たとえば、「password」という平文をMD5でハッシュ化すると「5f4dcc3b5aa765d61d8327deb882cf99」となります。こういった対応を表にたくさん入れておくことで、MD5のハッシュ値で検索すると元の平文が見つかるというわけです。 MD5のレインボーテーブルがWeb上から使えるサイトは結構あるようで、いくつかをピックアップ。どのサイ
技術評論社のセキュリティ対策最適化セミナーのパネルディスカッション - うさぎ文学日記
今日、お昼過ぎまでは翔泳社さんのMarkeZine Day 2009を見に行って、午後からは品川のコクヨホールで開催された技術評論社さんのセキュリティ対策最適化セミナーに参加してきました。 お目当ては豪華メンバーのパネルディスカッションです。 キーパーソンが語る! 企業セキュリティ対策のこれから モデレータ: 三輪 信雄 氏(S&Jコンサルティング株式会社) パネラー: 新井 亨 氏(味の素システムテクノ株式会社 専任課長), 新井 悠 氏(株式会社ラック サイバーリスク総合研究所 所長), 満塩 尚史 氏(株式会社イマーディオ代表取締役/環境省CIO補佐官), 歌代 和正 氏(一般社団法人 JPCERTコーディネーションセンター 代表理事) セキュリティ対策最適化セミナー … 技術評論社 モデレーターは言わずと知れた、セキュリティ技術武闘派の三輪さんです。 パネラーには、環境省CIO補佐
チケット発売開始!今年もやりますAVTokyo 2009 - うさぎ文学日記
日程: 2009年 10月 31日(土) Open 17:30 Start 18:00 End 22:00 (予定) 場所: TOKYO CULTURE CULTURE@nifty 参加費: 前売り券2000円 当日券2500円(ともに飲食代別途必要390円〜) ※学生割引あり(当日の学生証提示で500円引きになります。) 参加登録: イープラスよりチケットを購入(購入案内@東京カルチャーカルチャー) 購入に関する質問は contact[at]avtokyo[dot]org までスピーカーは絶賛調整中です。Call For Paper(CFP)もやってます。 昨年のAVTokyo2008の様子はこちら。 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(後編) − @IT AVTokyo2009の詳細は下記から。チケットはイープラスでの販売となりま
セキュリティ&プログラミングキャンプ2009 を無事に終えました - うさぎ文学日記
2009年8月12日〜16日まで4泊5日で行われていた暑い夏が終了しました。参加者の方、チューターの方、事務局の方、講師の方、みなさまお疲れ様でした。すでにブログで紹介やレポートなどがたくさんあがっていますね。私はハッカージャパンに取材記事を書くので、10月発売の号に掲載される予定です。 私もちょっとだけフォトレポートを。 今年も豪華な講師陣。私はセキュリティ側の講師ですが、プログラミング側の授業もじっくり受けてみたかったですね。 今年はキャンプ参加者にはTシャツが配られました。山キャンプ版がセキュリティコース、海キャンプ版がプログラミングコースで、白色が参加者、黄色がチューター、黒色が講師でした。 アンチウイルスソフトを使わずにウイルス感染を発見する方法は、村上先生曰く”勘”だそうです。PDFファイルを開くときの0.5秒遅れる挙動でわかることもあるそうですよ。 日頃の訓練のたまものでしょ
わんくまっちゃ445同盟 featuring Silverlight Square でR.Lのワッフル - うさぎ文学日記
末広がりな2009年8月8日に東京・新宿で開催された第08回 まっちゃ445勉強会に参加してきました。今回は「わんくま同盟」「まっちゃ445勉強会」「SilverlightSquare」の3コミュニティ合同の勉強会という形式で行われました。 R.Lのワッフル 今回もおいしいスイーツ付きの勉強会をありがとうございます。 都内にも結構店舗がありますね。ご当地ワッフルなんかもあるみたい。 ワッフル・ケーキの店 エール・エル オフィシャルサイト セキュア開発プロセスとウェブ健康診断仕様の応用 今回はHASHコンサルティングの徳丸さんによる「セキュア開発プロセスとウェブ健康診断仕様の応用」を目当てに参加してきました。 前置きで話していた話で興味深かったのが、「Webアプリケーションのセキュリティの要件の中に『ウイルス対策ソフトを導入』とあると、Linux+Apacheではなく、ウイルス対策ソフトの選
アンチウイルスソフトの検出率は製品性能の指標になるのか - うさぎ文学日記
という話をちょうど追いかけていたところ、2009年7月30日グランドプリンスホテル赤坂で行われた「Trend Micro 『Direction 2009』」で『検出率はセキュリティの性能か?〜Detection2009:現在のテスト手法の課題とは〜』という興味がある話題があったので砂かぶりの席で聞いてきました。パネリストは私にはお馴染みの方々でした。 【モデレータ】 ・トレンドマイクロ株式会社 スレットモニタリングセンター マネージャー 平原 伸昭 【パネリスト】 ・株式会社ラック サイバーリスク総合研究所 所長 新井悠 ・株式会社 フォティーンフォティ技術研究所 代表取締役社長 鵜飼裕司 ・マイクロソフト株式会社 セキュリティレスポンスマネージャー 小野寺 匠 Trend Micro 『Direction 2009』 この辺りのネタはそのうちコラムにでも書くか、どっかで話す
あこがれを伝染させると人は学ぶ - うさぎ文学日記
セキュリティ&プログラミングキャンプ2009に応募された方々に合否の通知が届けられたようですね。 合格して、晴れて参加が決まった方、おめでとうございます。キャンプでお会いするのを楽しみにしています。 さて、参加者が決まった頃、講師陣はテキスト作成の追い込みの時期です。人によると思いますが、去年使ったテキストをベースにしつつ、新しいものも加えていったりします。私は、今年からセキュアWebアプリケーションの講座も受け持つので、1つは新規作成です。 講義を受ける学生には、私が素晴らしいと思っていることを伝えたいですし、キャンプが終わった後も学ぶ意欲を継続できるようにしなければならないと思い取り組んでいます。 教育の一番の基本は学ぶ意欲をかきたてることだと言われているようですが、私もそう思います。そして「○○をしたい」というあこがれ(願望)が学ぶ意欲に火を付けます。キャンプでは私自身が持つあこがれ
SSDプチフリ対策に効果がある?Petite Freeze Buster β版を導入してみた - うさぎ文学日記
半年ほど前に、比較的低価格なSSDを導入し、プチフリと戦い、ひとまず日常使用に問題がないぐらいにまで仕上げたのですが、ここ数週間ぐらいでまたプチフリが頻発するようになってきました。 流行りモンなので試しにSSDを導入してみた 〜 プチフリとの戦い - うさぎ文学日記(2009年2月16日) 今のメインPCはOS(Windows XP)をインストールしてから3年ぐらい経っているので、いわゆるゴミが溜まって遅くなっているのかもしれません。もしかすると、Vista辺りのOSを再インストールして、環境を再構築した方が改善効果があるかもと思いつつ、数ヶ月先のWindows7に思いを馳せながら、場当たり的な対応で雨露をしのぐのでした。 Petite Freeze Buster β版 Petite Freeze Busterは、SSDに書き込むデータを、いったんメモリ上のバッファ領域に保存して、そこから
Linux Kernel Watch LIVE! - うさぎ文学日記
6月3日(水)に@IT主催で開催された 『Linux Kernel Watch LIVE!』という勉強会に参加してきました。 @IT主催だけど今回は取材じゃないのでだらだらとレポート。 内容は以下の3本立て Linux Kernelの作られ方(小崎資広氏) TOMOYO Linuxマージに至る道(原田季栄氏&半田哲夫氏) 日本のセキュリティコミュニティ活動の現状(海外浩平氏) どのお方もどこかで名前を目にしたことがある有名人という方々ですが、 参加するまでは彼らの活動の内容まではあまり知りませんでした。 会議室の都合から、定員はわずか15名で3日ほどで埋まったようです。 私はワッサーで情報を仕入れて即申込でした。 @IT編集部より、勉強会「Linux Kernel Watch LIVE!」開催のお知らせ - @ITクラブ Cafe @ITさんが主催ですが、手弁当といった感じの勉強会でいい雰
Office2007ドキュメント中のテキスト文章がウイルスとして検出される - うさぎ文学日記
メールの添付ファイルで、脆弱性の話の資料を送ったんですが、 送り先の方がSymantec AntiVirus Corporate Editionを使っていて、 教育用の資料を何度を送ってもウイルス扱いになって、 ファイルが削除されてしまうということがありました。 Office2007のファイルはXMLファイルを単にZIPで圧縮したものだから、 文章中に以下の文字が入ってたのがダメだったみたい。 cat /etc/passwd | mail ueno@example.jp ウイルス名「Unix.Penguin」として検出されたようでした。 Unix.Penguin は、Unix 上で動作する単純かつ悪質なシェル スクリプト プログラムです。Norton AntiVirus の Unix.Penguin 検出技術は、システム パスワード データ ファイルを外部に送信しようとする Unix シェ
平成20年分の確定申告完了! - うさぎ文学日記
今年も確定申告の時期ですね。 還付申告の方は1月でも受け付けてもらえるのでお早い目に。 還付金が早く帰ってきますよ! 早くもらえるって、嬉しいっ!! 私は自社を含め、複数箇所から所得があります。 そのため、自社以外は毎月の源泉徴収税額が乙類で、 金額の3割近くが税金でもっていかれます。 高いっ! (参考)平成20年4月以降分 源泉徴収税額表|パンフレット・手引き|国税庁 もちろん確定申告をすることで、まっとうな所得税の金額に調整されます。 じゃないと、相当高い税金になってしまいます。 還付申告をすることで、甲類並に調整されるようです。 確定申告をしなくてもよい人でも、源泉徴収された所得税額や予定納税をした所得税額が年間の所得金額について計算した所得税額よりも多いときは、確定申告をすることによって、納め過ぎの所得税が還付されます。この申告を還付申告といいます。還付申告ができるのは、その年の翌
ワッフル*ワッフルのワッフル!ワッフルワッフル! - うさぎ文学日記
ワッフル*ワッフルっていう店の名前なんだって。大丸東京で買いました。 6種類ぐらい食べたけどどれも生地とソースのバランスがよかった。果物や小豆系もおいしいけどベリー系のが一番好き。 ワッフルの種類も充実していて、選ぶのに迷っちゃうぐらい。 1つ1つ個別包装だし、価格も1つ150円とか200円ぐらいなのに見た目は結構いい感じ。これはお土産に最適ですね。 竹迫さん、次のどっかのイベントのお土産なんかにいかがでしょうか。ワッフルワッフル! ワッフルの新しいかたち。ワッフル*ワッフル
AVTokyo2008無事に終了しました。 - うさぎ文学日記
「英語が話せなくても、技術とソースコードで俺たちは通じるぜ!」の勢いで1年前に思いついたイベントが無事に終了しました。 大勢の参加者に来ていただき、質の高いスピーカー陣にも恵まれ、スタッフの協力も得られ、BlackHatのために来日していた海外の方々も多く訪れ、とてもいいイベントになったと個人的には思っています。 今回のイベントでは同時通訳こそはありませんが、日本語と英語の両方のプレゼン資料を用意して、2台のプロジェクターを使って同期させて進めていくっていうのをやりました。海外の方の満足度が気になりますが、試行錯誤の第一歩としては得られるものはありました。 反省点も数多くありますが、来年はさらにいいものにしていきたいと思います。やるぜ!AVTokyo2009! AVTokyo2008のフライヤー Tシャツも作りました パネルディスカッションは同年代以上にはウケたかな? 大盛況のAfterP
AVTokyo 2008、ブリーフィング詳細を発表 - うさぎ文学日記
AVTokyoは、東京 高田馬場で10月11日(土)まで開催される国際セキュリティカンファレンス「AVTokyo 2008」のブリーフィング詳細を発表した。これまではBlackHat Japanの参加者のみに限定されていたAV200Xイベントであるが、その枠を外し、誰でも参加できるカンファレンスとして開催する。当日はBlackHatJapanのスピーカーも多数来場する予定。 AVTokyo 2008は、創刊10周年を迎えるHacker Japan誌(白夜書房)の記念イベントも兼ねている。 今回のカンファレンスでは「APIフックとsysenterフックを利用した新しい解析テクニックと、キャッシュカードアクセスのキャプチャリング」、「ブラウザに依存したWebアプリケーションセキュリティ」、「マルウェア体験ラボで、マルウェア事故対応の恐怖と不確実性を吹き飛ばせ!」などのセッションのほか、ショート
資料公開「なぜ、御社のWebサイトが攻撃されるのか。そして、守るためには何をすればよいのか。」 - うさぎ文学日記
第01回まっちゃ445勉強会で話した「なぜ、御社のWebサイトが攻撃されるのか。そして、守るためには何をすればよいのか。」の資料を公開しました。 「安全な車」ならみんな何となくわかるけど、「安全なWeb」ってみんなよくわからないよね。 という話から始めて、最近のWebをターゲットとした自動ツールによる無差別攻撃の現状や、被害に遭うWebサイトのほとんどはバグを抱えているからだということ、そして守るためには要件と設計が必要な理由などを説明しています。 ダウンロードはこちら(PDFファイル:868 KB) 第02回には竹迫さん、徳丸さんが登場!引き続き第2回、第3回も楽しみにしています。
第01回まっちゃ445勉強会が何故ヤバいのか - うさぎ文学日記
「講師が決まったら申し込むかー。」と思ってたら、自分が講師だった件について。 講師や内容が決まる前から、申込は盛況のようです。どんだけ人気なんだ。w 「初心者向けに」とお願いされているので、「なぜ、御社のWebサイトが攻撃されるのか。そして、守るためには何をすればよいのか。」をベースにネタを作って発表しようかな。 申込や詳細はこちらから ●第01回まっちゃ445勉強会の日 - まっちゃだいふくの日記★とれんどふりーく★ まっちゃ445勉強会は、昼に開催する本番以外にも、午前中にやる「目覚まし勉強会」と、後の「懇親会」もあります。懇親会は申込が必要なようです。 こういった勉強会コミュニティにせっかく参加するんでしたら、懇親会まで参加するのがオススメです。裏話が聞きたいや同好の士と会いたい、おいしい餃子を食べたいだけでも是非。 タイトルは「ホッテントリメーカー」で作りました。推定6ハテブ。w
WASForum2008 - うさぎ文学日記
2日とも行ってきました。キーワードは「サイバー戦争」…。 んーー、「サイバー空き巣」ぐらいだと思うけどさ。 意外と盛り上がった、その場で携帯で投稿するタグクラウド祭り。 園田さんいるのに気が付きませんでしたよ・・・。写真見たら写ってるし。 個人的な見所としては、初日のパネル・ディスカッション「デファクトCIO、CTOのためのWEBサイトにまつわるITガバナンスの品格」での温度差のあるトークバトル。w 時の人となったサウンドハウスの中島社長を中心に、控えめで大人なパネルディスカッションでした。 (そういう反応になるのは同意するし、同情もします)と感じたけど、ここ数年ぐらいの話ならエンジニアが技術を学ぶべきに一票。発火政府とかの予算があるなら、設計時にしっかり作り込みましょう(ウチみたいな、コンサル入れるとかもありますし。w)。そうすれば何千個アプリがあっても変わらんと思います。私もコメント控
サウジアラビア大使館でのおもてなし - うさぎ文学日記
14日にサウジアラビア大使館で献血してきました。Yahoo!のトップページに載ったからか、「サウジアラビアの豪華料理でもてなす」とどこかのプレスが書いたからなのか、爆釣りされた4000名の応募に対し、800名が選ばれ、その中に入ることができました。 結果的には想像していた豪華料理ではありませんでしたが、サウジアラビアのお菓子などが頂けて楽しい時間を過ごせました。 関係者の方に「料理に釣られて、下心で献血に来ました。」というと、「それでもいいんですよ。その下心をうまく利用させていただきますから。」と言っていた。 みなさんも機会があれば、下心でも、ボランティア精神でも献血を。 サウジアラビア大使館でいただいたお菓子。お菓子の名前はよくわかりませんが、素朴な味わいでお茶と合う感じのお菓子でした。 何よりサウジアラビア大使館に入る方が貴重な経験かも。 参考:サウジアラビア大使館で献血してきた -
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
