SQLインジェクションを説明してみると - 極楽せきゅあブログ
普通だったらWebブラウザでリンクをクリックしたりしてホームページを見ますよね?まあその裏でいろいろな通信が行われているので、ホームページというデータが読める訳なのですが、実はこちらから送り出す通信文って細工できるんですよね。 データベースを直接操作してしまうような呪文を埋め込んでこちらから送り出すと、間抜けなサーバーはそれに答えちゃうんですよ。そうすっともういきなり個人情報とか漏洩でさぁね。 とかいう具合に説明していることが多いんだけど、こういう言い方をするとSQLインジェクションだけでなく、ちょっと単語置き換えるだけでいろんな攻撃類型が説明できちゃうことに気づいちゃった。そこであちきは、これって現行法にも通ずるものがあるよなあ、などと思いをはせ、遠い目をするのであった。
テレワーク、リモートワーク、在宅勤務で実践してること - 極楽せきゅあブログ
テレワークやリモートワーク、在宅勤務が中心の生活をもう16年やってきましたが、そこで実践していることとかを書いておくと誰かの役に立つかな(笑)。 (1)外部ディスプレイ(液晶)はこまめに電源を切る 液晶テレビ、ディスプレイって何気に電気食うんだよね(笑)。あと心理的にペースを変える効果がある。 (2)ポモドーロタイマーやその類のもので目の前のタスクにかける時間をコントロールする 締め切り効果とかもあって集中しやすくなるし、見積もりの精度が上がる(=スケジュールをより正確に組めるようになる)ことも期待できる。ペースを意識すると効率化に意識が向いて生産性の向上を図ることに繋がる。25分+5分としてサイクリックにするポモドーロテクニックというのも応用が利く。 https://www.sensei.biz/pomodoro_app/ https://play.google.com/store/ap
SECCON2018開催レポート(増補版) - 極楽せきゅあブログ
一度このブログでも書いたけど、その大幅増補版。JNSAのメルマガよりさらに加筆してるヽ(´ー`)ノ 例年SECCONは大きなイベントを1月末、あるいは2月の上旬あたりに北千住の東京電機大学さんをお借りして開催してたんですが、SECCON2018は2018年12月22日~23日に場所を変えて秋葉原UDXのAkiba Squareとダイビルのホールで開催しました。場所を変えた理由はいくつかありますが、ひとつは例年開催する1月も2月も「年度末」というシビアな時期に近いので運営の中の人的に苦しかったから変えてみたかった、ということです。わたし自身は役所に絡む仕事が多いので、一般企業とはちょっと違いますがそれでもやはり年度末は大変です。とはいえまぁ年度末ではなく年末というのも慌ただしいのですが、それでも今回年末にやってみたら年度を通しての大変さは少し軽減されたと感じています。 イベント集客力の強化も
日本の科学技術・教育関連予算の話 - 極楽せきゅあブログ
パスワードを間違えてログインできなかったせいで更新間があいてしまったw>はてな 教育関連の予算って防衛関係と丸められて「その他」扱いになってるんだけど(笑)こちらに資料があるね>https://www5.cao.go.jp/keizai-shimon/kaigi/special/reform/wg2/270828/shiryou2-2.pdf 実は予算額ってあんまり変わってないんだよね(スライド3)。現場からすると大きすぎる額かも知れないけど、微減という範囲ではある。さらに大学生の数ってのを見ると、(間接的なデータなんだけど>https://education-career.jp/magazine/data-report/2019/college-student-transition/)これも変わってない。なのでざっくり言うと教育関連の予算って確保されて底堅さはある。 ただ、↑の内閣の資料
SecHack365修了生のブログとか - 極楽せきゅあブログ
続々ブログとか書いてくれてます。ありが㌧ 【プログラム体験談】SecHack365にチーム開発で1年間参加してみた ↑のたけちゃんがSXSWハッカソンに行ったときのレポ: SXSWに行ってきた話 - お腹.ヘッタ。 【プログラム体験談】SecHack365に1年間参加してみた社会人1年目のお話 ↑会社の理解半端無い。有りがたい限り。 再掲: 【プログラム体験談】IT系の学生必見!ホワイトハットハッカー育成プログラム SecHack365でチーム開発を行い、優秀テーマに選抜された体験談【プレゼン資料あり】 SecHack365のすゝめ - 努力なくして力なし かれらの成果は3月秋葉原でクローズドな成果発表会ってのをやって、そこで明らかになったんですが、今週末4月15日(日)に同じ秋葉原で開催されるセチャコン(SECHACKCON)でも成果のポスター展示&デモ、ステージ上でのSECCON過去問
リアルなリテラシー - 極楽せきゅあブログ
★これは「子供/保護者/学校」×「情報リテラシー」 Advent Calendar 2017の8日目の投稿です。 情報リテラシーを教える、ということは本当に難しいっすよね。まぁそもそも「教える」って言葉が相応しいとも思えない。怪しむ感覚を怪しみすぎないように備えて欲しいという感じだけど、体得して欲しい、というのに近い。 体得してもらうには疑似体験が効果的だと思いますが、トラウマになるような体験させてもアレなので適度に刺激的で適度に安全というのが良いでしょう。以前頼まれて香川で小学校の課外授業的な場で20分×2のコマを担当したことあるんですが、そこで用意したのが二つのリンクが貼られたWebページで、どちらをクリックしても5万円の請求画面に行く、というもの(笑)。「さーやってみてー」と言う間もなくがしがしクリックして5万円請求されまくって「せんせーなんかこんなん出たけどおれ貯金5万円も無いよー
ナショナルサイバートレーニングセンター&SecHack365 - 極楽せきゅあブログ
国立研究開発機構情報通信研究機構(NICT)でパートタイマーだけど仕事し始めて10ヶ月。セキュリティ人災育成研究センターって組織でCYDER演習の企画運用とかの仕事してましたが、実はその裏でめっさいろいろ新企画推し進めてました。んで4月1日から組織も「ナショナルサイバートレーニングセンター」と変わり、新規事業SecHack365というのを今年度から展開することになりました。以下概要。 セキュリティの未来を生み出すU-25ハッカソン「セックハック365」| SecHack365 プログラム概要 SecHack365 は高度な技術力を持つセキュリティ研究者や開発者を育成することで、我が国のセキュリティ技術力、産業競争力を高めることを目的としています。 世界のサイバーセキュリティ市場における我が国のセキュリティ・ベンダーの存在感は、決して大きいものではなく、ブラックボックス化した海外製品を利用す
レポート - 極楽せきゅあブログ
突然ですが、とある学生さんが書かれたレポートの内容が良かったので、ご本人の許可を得た上で掲載してみる。 インターネットは私たちの生活や社会との関わり方を大きく変え、今や社会生活になくてはならない存在となっている。スマートフォンの普及で容易にインターネットへのアクセスが可能となり、特にSNSによりインターネットが普及し始めると、一昔前とは比較にならない速度で情報が拡散されるようになった。インターネット上の情報は私たちの生活に恩恵をもたらす一方、特定の個人を誹謗中傷する情報や、他人の著作権を侵害する違法性、有害性を含む情報も一部ある。インターネット上の情報によって権利侵害を受けた者(被害者)にとっては、情報をいち早く把握し、削除したいと考えるのは自然であり、違法性、有害性情報拡散への早急な対応がインターネット社会での課題であると考える。「プロバイダ責任制限法(平成14年5月27日施行)」が施行
脆弱性の指摘について - 極楽せきゅあブログ
注:あまりに長くなってしまったので(すんません)、「脆弱性って何?」というのを読んだあと、すっ飛ばして「脆弱性を探すのは危険?」に行っても良いと思います。 脆弱性って何? 脆弱性(ぜいじゃくせい)という耳慣れない言葉があります。コンピュータを動かすソフトウエア(アプリ(ケーション)、システム、プログラム、いろいろな呼び名や種類があります)の欠陥のことをバグ、と呼びますが、そのバグの中でも悪用されてしまう可能性があるものを脆弱性と言います。脆弱性を悪用(攻撃)されると、会員全員の個人情報を盗まれたり、オンラインバンキングを狙うウイルスをばらまかれたり、提供しているサービスを破綻させられたりすることがあります。サイバー攻撃、などと言われる活動は、脆弱性を悪用するものが多く、社会的にも大きな問題となっています。 脆弱性はなぜ作られる? プログラムを作る行為(プログラミング)はもう何十年も行われて
流行のLINE怪しいアクセス - 極楽せきゅあブログ
数日前に怪しいPCアクセスが来てたんだけど、足あとが増えましたとさ。 % Joint Whois - whois.lacnic.net % This server accepts single ASN, IPv4 or IPv6 queries % LACNIC resource: whois.lacnic.net % Copyright LACNIC lacnic.net % The data below is provided for information purposes % and to assist persons in obtaining information about or % related to AS and IP numbers registrations % By submitting a whois query, you agree to use this d
全国大会2014の参加記 - 極楽せきゅあブログ
ブログ書くまでがキャンプですってね(笑)。 http://fv2c.hatenablog.jp/entry/2014/08/17/175917 http://blog.techack.net/archive/2014/08/18/security-camp-impression/ セキュリティキャンプ2014全国大会に参加してきました - 仙豆のレシピ セキュリティ・キャンプ全国大会2014に行ってきましたー - js lover's https://blog.alpha-kai-net.info/?p=1058 http://htn.to/EEwwrK なにかの間違いでセキュリティ・キャンプ2014に行ってきた話 - 顔面ソクラテス改 http://pepon.hatenadiary.jp/entry/2014/08/18/122239 http://kaworu9254.hateblo
遠隔操作事件とログの長期保存要請的な話 - 極楽せきゅあブログ
についてコメントを求められたっす>東京新聞 有料記事だから全文読めないけど、(たぶん本紙にも)コメント出たかと。http://www.tokyo-np.co.jp/article/tokuho/list/CK2013062602000165.html サイバー大学の園田道夫准教授が心配するのは、犯罪者による履歴の改ざんだ。「履歴の改ざんがないか常にチェックする必要が出てくる。過度に履歴に頼って捜査を進めると、再び冤罪を生む危険性がある」と指摘。「それでも、長期間、履歴を保存するべきなのか慎重な議論が必要だ」 というコメントになってるらしい(読んでないけど(笑))。 実際には、「ログ保持長期化に対し現場の抵抗感があるのは、そもそもそのログが法廷においても期待されるパワーを持つようにしておくためには、けっこうなコストがかかるというのが見えるからだ。単純にIPアドレスに頼って冤罪を生んでしまった
ファジング - 極楽せきゅあブログ
ファジング本に関わった身としては、ファジングレポがいろいろ出てきてくれて嬉しいよ。てか、開発プロセスに普通に入れていくべきと思うんだけどね>ファジング。コスト安いし、脆弱性などの発見効率も良いし。 IPAのファジング関連資料はこちら↓にすべてあるけど、個別にも貼っておこうかな。 脆弱性対策:ファジング:IPA 独立行政法人 情報処理推進機構 一番新しい資料:スマートテレビの脆弱性検出に関するレポート http://www.ipa.go.jp/security/vuln/documents/fuzzing-smarttv.pdf IPAテクニカルウォッチ 製品の品質を確保する「セキュリティテスト」に関するレポート:IPA 独立行政法人 情報処理推進機構 FFRさんの「制御システムセキュリティと EDSA認証適合ファジングツールの開発」 http://www.jpcert.or.jp/ics/
スマフォを凍らせるぜ - 極楽せきゅあブログ
という攻撃があるらしい。Frostって言うんだそうで。 スマホを冷凍すると暗号化が無効に!新ハッキング手法「フロスト」に話題沸騰 | GGSOKU – ガジェット速報 大学のWebサイトにいろいろ載ってますね。 FROST: Forensic Recovery Of Scrambled Telephones › IT Security Infrastructures Lab リカバリイメージまである。テクニカルレポートが待たれるなぁw。 この分野(ハードウエアのハッキング)って当然ながらハードごとって形だけれどもけっこう盛んに研究されてますよね。enPIT Securityでは講座の目玉になるそうですし、Arduinoなんかもあるし組み込みやハードが熱いですね最近。
パソコン的受難 - 極楽せきゅあブログ
今手元でメインで使っているマシンはレッツノートのCF-S9というものですが、このマシンはこれの前に使っていたCF-W7というVista入りマシンが酷くヘタレて来たので2年ちょい前に買ったモノです。CF-W7のヘタレっぷりといったらそれはもう半端無くて、レツノによくあるハードディスクヘタレに加えてVMとかイロイロ入れていたらそもそも容量が足りなくなってきて閉塞感がすごかったですね。さらにヴィスタと来たらねえ。フォルダの表示設定が工場出荷時に戻る病に罹患してからはフォルダを開く度に地味にHPを削がれてて、なおかつディスクの容量を常に気にしながら、掃除しぃしぃ使うのにほとほと疲れ果てて買ったSSD入りマシンの感動モノの速さに、ここ2年はとても満足していました。怪しいソフトウエアはVM上に入れるとか、レジストリの整備にも気を遣っていたので、ヘタレもせず今でもサクサク動いてくれています。 さて、そん
パソコン的受難その後 - 極楽せきゅあブログ
なんとまーセキュメモに採り上げられるとか久しぶりな感じ(笑)。 セキュリティホール memo - 2013.03 というわけで先ほど無事に送り出したわけですが、いろいろ考えたんですが結局、修理のために本当の意味でSSDごとまるっと消去できないっぽいので、むしろ消さずに暗号化とかしましたよ。鍵外出しで。で(笑)、その上で見られたくないフォルダは普通にゴミ箱経由の削除を行いました。ぶっちゃけ暗号化自体付け焼き刃なので、復元とかも気にしなきゃならんわけだし、なかなか面倒でしたけどねぇ。 [Windows 7] システムの復元を... | Q&Aページ | Q&A | パーソナルコンピューター VAIO® | サポート・お問い合わせ | ソニー 一時的に自分パソコンの制御権を渡すとなると、普段割と気にせずに使っている部分とかがいろいろ出てきますね。ノーパソっていう可搬なブツをメインにしてい
VMware Workstation内のWindows7のアクティブなウインドウのキャプチャを撮る - 極楽せきゅあブログ
タイトルが長すぎるか(笑)。 VMware Workstationを9にしたんだけど、その「VM」ってメニューの「スクリーンのキャプチャ(C) Ctrl+Alt+PrtScn」という機能を使うと、VMのスクリーンショットが撮れるんだけど、VMで動くWindows上のアクティブなウインドウのキャプチャを撮影することができない。Qshotとかのキャプチャツールで何とかなるんかなーと思って試してみたけど、それもできない。 んでふと考えてユニティにしたらできるんじゃね?って思って試してみたら、普通にホスト側のQshotとかでキャプチャできましたね。 良かった良かった。 しかしユニティモードっていろいろ間違えやすいので(笑)、そこんとこ注意必要だよな−。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
続・全国大会2014の参加記 - 極楽せきゅあブログ
アセンブラ短歌本 - 極楽せきゅあブログ
ブラックバニー - 極楽せきゅあブログ
