winny.info別館 ■ トラフィック解析
最近、本当にファイル共有アプリケーションを利用した情報漏洩型ウイルスが酷いので、改めて分かりやすく書いておきますね。 Winnyは大規模なトラフィック解析には勝てません。 ネットエージェントさんなどがやっているように、あるファイルを誰が最初にWinnyで公開したかを追うことは、今では十分に実現可能です。キャッシュによる匿名効果は、あくまで「過去は分からない」というだけであり、多数の地点で継続的に記録を続けている強力な監視者がいるような場合には著しく効果が薄れます。所詮は、「目をつけられなければ勝ち」という程度だと思ってください。 また、おそらく内閣官房情報セキュリティセンター(NISC)も同様の調査を行っていることでしょう。おそらくはより大規模に。 Google: Winny 情報セキュリティーセンター ばれないだろうと思って軽い気持ちでウイルスを改変・配布するのは絶対に辞めてください。
bogus weblog: Net Tools by Mohammad Ahmadi Bidakhvidi
Net Tools by Mohammad Ahmadi Bidakhvidi というのがあるみたいです。 なんつうかネットワークツールを詰め切れるだけ詰め合わせたみたいで、 140近くもツールがあるので、全部説明するだけで1冊書籍が書けそうです。 なお、使うためには.Net Framework2.0が必要になります。 ここからは使える機能一覧(実際に使い込んでないのでいい加減です) 1) IP アドレススキャン 2) IP アドレス計算 3) IP コンパーター 4) ポートリスナ 5) ポートスキャナ 6) Ping 7) NetStat (2 ways) 8) Trace Route (2 ways) 9) TCP/IP 設定 10) Online - Offline Checker 11) Hostと IPの名前解決 12) 時間合わせ 13) Whois
パスワードが安全か調べるには(John the Ripper編)
セキュリティパッチをまめに当てていても、パスワードが簡単だと容易にクラッキングされてしまう。そこで、パスワードの解析ツールを使って、自分のパスワードが安全かどうか確かめてみてはどうだろう。ここでは、「John the Ripper」というツールを使って、パスワードが解析可能かチェックする方法を説明する。 まず、John the RipperのWebサイト(http://www.openwall.com/john/)からソースファイル(john-1.6.tar.gz)をダウンロードして、適当なディレクトリで展開する。 $ make To build John the Ripper, type: make SYSTEM where SYSTEM can be one of the following: linux-x86-any-elf Linux, x86, ELF binar
MTA のアクセス制御
MTA の各種のアクセス制御手法について思いつくままにメモしたもの。ほとんどは spam 対策だが、こうすれば spam を撃退できる、というガイドではない。絶大な効果があるものから、ほとんど効果がないどころか多大な副作用をもたらすものまで、さまざまな手法をとにかく列挙する。筆者は spam 対策については「やりすぎるぐらいならば何もしない方がマシ」という立場を取っているので、メリットよりもデメリットを重視する。なお、分量はわずかだが DoS 対策や内部ユーザによる abuse を防止する手法についても触れる(この文書は spam 対策技術のメモではなく MTA のアクセス制御手法のメモである)。 ローカル配送された後にユーザごとで選別する方法についてはほとんど取り上げない。携帯電話向け spam についても触れない。特定の MTA や対策ツールにかたよった記述はほとんどしないし、特に必要
日本丸裸? 海自機密データ、Winnyのウイルスでネット上にばらまかれる 海洋データ入りソフトも起動可能な状態で - 天漢日乗
日本丸裸? 海自機密データ、Winnyのウイルスでネット上にばらまかれる 海洋データ入りソフトも起動可能な状態で ファイル交換ソフトを使っていると感染する確率の高いウイルスが原因で、国家機密がネット上にばらまかれた。てか、この海自関係者はアホか。Winnyで無修正エッチ画像でも見ようとして感染したに違いない。 Winnyは開発者の47氏が逮捕され、開発環境もすべて京都府警に押収されているため、この手のウイルスに対抗するためのバージョンアップも何もできなくなっているから、流出狙いでウイルスを仕掛ける愉快犯の思うつぼだ。 毎日新聞より。 海自機密データ:「極秘」暗号書類などネット上に流出 海上自衛隊の「極秘」と書かれた暗号関係の書類や、戦闘訓練の計画表とその評価書など、多数の機密データがネット上に流出していることが、22日分かった。流出した海自情報はフロッピーディスク約290枚分に相当する膨大
Вавада Казино Зеркало - Регистрация, Бонусы и Рабочая Ссылка на Официальный Сайт Vavada Casino
Регистрация аккаунта Вавада Важно знать, что в данном ресурсе при статусе посетителя вы можете поиграть во все автоматы бесплатно без открытия аккаунта. Но без игрового профиля вы никогда не сможете претендовать на бонусы и плюшки от казино за самые обычные действия. По этой причине многие гости платформы, в итоге, решают присоединяться в качестве активных гемблеров и регистрируют учетки. На сегод
SQL Power Injector Product Information
Product Information Introduction SQL Power Injector is an application created in .Net 1.1 that helps the penetration tester to find and exploit SQL injections on a web page. For now it is SQL Server, Oracle, MySQL, Sybase/Adaptive Server and DB2 compliant, but it is possible to use it with any existing DBMS when using the inline injection (Normal mode). Indeed, the normal mode is basically the SQL
“本物”のSSL証明書を持つフィッシング・サイト出現
“本物”のSSL証明書を持つ偽サイトの例(<a href="http://www.websensesecuritylabs.com/blog/" target=_blank>Websenseの情報</a>より) 米SANS Instituteや米Websenseは現地時間2月13日,実在するサイトに思わせるようなドメイン名を持ち,なおかつ,そのドメイン名に対して発行されたSSL用サーバー証明書(デジタル証明書)を持つ偽サイトが確認されたとして注意を呼びかけた(関連記事)。 確認された偽サイトは,「Mountain America Federal Credit Union」をかたるもの。実際のサイトのURLは「https://www.mtnamerica.org」だが,偽サイトのURLは「https://www.mountain-america.net」だった。間違える可能性は高い。しかも偽
常陽銀行、日立の非接触型指静脈認証システム採用で指静脈認証ATMを本格稼働
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 日立製作所は2月9日、同社の指静脈認証技術が常陽銀行の生体認証による本人確認に採用されたことを発表。2006年3月22日より、指静脈認証に対応した「常陽ICエースカード」の受付/発行の開始と、同カードに対応した指静脈認証ATMの稼働を開始する。 日立の指静脈認証機能をICキャッシュカードへ搭載し、ATMで実際の業務に使用するのは関東地区の地域金融機関では初めて。日立は、常陽銀行の指静脈認証ATMシステムおよびICキャッシュカードの発行をトータルに支援する。 常陽銀行は、金融犯罪による被害の防止策として、指静脈認証機能付きICキャッシュカードを導入。指静脈認証技術は、登録されるデータがコンパクトでありながら高い認証精度を実現していること、
PHPのSession Fixation問題
(Last Updated On: 2006年10月24日)PHPのセッション管理はセッションの固定化(Session Fixation)に脆弱であることは広く知れらていると思っていました。先日、php-users(ja)のMLに「Hardened PHPプロジェクトのStefanさんのパッチにSQLite Sessionモジュール用のセッションセーブハンドラパッチを追加したパッチを公開しました」と投稿しました。しかし、ダウンロード数等から推測するとセッションの固定化のリスクが正しく認識されていないのではないかと思えます。 セッション固定化のリスクを分かりやすく説明するには具体的な攻撃のシナリオを紹介した方がわかり易いのでいくつか説明します。以下の説明はデフォルト状態のPHPインストールでSession Fixation対策を行っていないのPHPアプリケーションに対して可能な攻撃の一例です
AjaxとPHPを使ったワンタイムパスワード方式のログイン認証:phpspot開発日誌
JamesDam.com ? AJAX Login System Demo This is an example of a login system that does not require page refreshes, but is still very secure. Ajax+PHPでの画面遷移なしのログイン画面作成サンプルが公開されています。 フォームに、user1, pass1 を入力すると即時認証が行われ、次のようにログイン状態になります。 認証には、Ajaxを使ったワンタイムパスワード方式が使われます。 具体的には、Ajaxでサーバからチャレンジコードを取得し、チャレンジコードとパスワードをmd5でハッシュして、更にその値をサーバに送信し、認証を取ります。 このため、従来の方式よりは安全な認証が可能となります。 Ajaxが出てきたことで、ブラウザを開いたままの状態でインタ
情報セキュリティ読本 教育用プレゼン資料:IPA 独立行政法人 情報処理推進機構
企業内での社員教育、学校での授業、各種セミナーや研修などで利用できるように、情報セキュリティ読本 四訂版に準拠した教育用スライド資料を作成しました。 情報セキュリティ読本を教材とした組織内でのセミナーや研修でご活用いただければ幸いです。 章別ダウンロード 第1章 今日のセキュリティリスク (554KB) 1.1 今日のセキュリティリスク 1.2 危険の認識と対策 第2章 情報セキュリティの基礎 (608KB) 2.1 情報セキュリティとは 2.2 外部のリスク要因 2.3 内部のリスク要因 2.4 情報リテラシーと情報倫理 第3章 見えない脅威とその対策-個人レベルのセキュリティ対策- (2.2MB) 3.1 マルウェア-見えない化が進む 3.2 共通の対策 3.3 標的型攻撃と誘導型攻撃への対策 3.4 フィッシング詐欺への対策 3.5 ワンクリック請求への対策 3.6 スマートフォ
脆弱なWebアプリケーションから脱却する5つのコツ
ショッピングサイトのように多くの個人情報を扱うWebサイトを運営しているのであれば、Webアプリケーションの脆弱性について早急に対策を取るべきだ。Webアプリケーションの安全性を高めるために考えられる対策として5つの方法を提案したい。 Webアプリケーションと個人情報 多くの個人情報を扱うWebアプリケーションの1つに、ショッピングサイトがある。ショッピングサイト上には、利用者の名前や住所、電話番号などの個人情報が蓄積されている。それだけではなく、購入履歴やアンケートといった、他人には知られたくないような情報が登録されていることも多い。通常これらの情報は、データベース(DB)で管理されていることがほとんどだと思うが、WebアプリケーションにSQLインジェクションの脆弱性が存在すると、DB内の個人情報を一気に抜き取られてしまう。Webアプリケーションの脆弱性にはさまざまなものがあるが、個人情
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
システムのプロパティを変更されないようにする - 日経トレンディネット
サービス終了のお知らせ
http://itamae.server.ne.jp/White_E/memo/sarujohn.html
http://www.gigazine.net/News/html/lg/001084.htm
SQL Injectionの仕組みと対策
アドウェア、迷惑メール、ウイルス、オンライン詐欺からのプロテクション | McAfee SiteAdvisor
安全なWebアプリ開発の鉄則 2004