窓の杜 - 【NEWS】Secunia、PC内のアプリケーションの脆弱性を調査する「Secunia PSI」
デンマークのセキュリティベンダーSecuniaは25日(現地時間)、アプリケーションの脆弱性を調査するソフト「Secunia Personal Software Inspector」(以下、「Secunia PSI」)を公開した。Windows 2000/XP/Server 2003/Vistaに対応するフリーソフトで、現在同社のWebサイトからダウンロードできる。 「Secunia PSI」は、PCにインストールされたアプリケーションの脆弱性を調査するソフト。インストールされたアプリケーションの情報と、同社のデータベースとを照合し、脆弱性が含まれているバージョンが存在するかどうかを調査する仕組み。世界中のユーザーから報告される情報などをもとに構築されたデータベースを参照するため、世界的に有名なアプリケーションをはじめ、日本国産のアプリケーションにも数多く対応している。 たとえば自動アップ
JavaScriptを使ってイントラネット内を外から攻撃する方法:Geekなぺーじ
「Hacking Intranet Websites from the Outside」という講演が2006年にありました。 Black Hatでの講演です。 以下に説明する手法は既に公開されてある程度時間が経過している情報なので、ご存知の方にとっては既に古いとは思います。 詳細はプレゼン資料をご覧下さい。 概要 ファイアウォールなどに守られたイントラネットやホームネットワークの内部を攻撃する手法が解説してありました。 JavaScriptの基本仕様を組み合わせて情報を収集するというものでした。 最終的には、プリンタから印刷を行ったり、ルータの設定を変更するなどの攻撃が可能になるようです。 それ以外にも、Web経由で設定変更が出来るものは状況によっては影響されるかも知れません。 プレゼン後半ではCSRF(XSRF, cross-site request forgery)も解説されていました
一瞬にして無線LANのWEPを解読する方法がついに登場、まもなく解読プログラムを公開予定
CSS2008(コンピュータセキュリティシンポジウム2008)において、無線LANの暗号化方式であるWEPを瞬時にして解読するアルゴリズムが神戸大学の森井昌克 教授から発表されたそうです。何よりすさまじいのが、既に知られているような特殊な環境が必要な方法ではなく、通常の環境で簡単に突破可能であるという点。しかも、諸般の事情によって解読プログラムの公開はひかえているものの、近々公開予定とのこと。 携帯ゲーム機であるニンテンドーDSは暗号化においてWEPしか現状ではサポートしていないため、今後、さまざまな問題が出る可能性があります。 一体どういう方法なのか、概要は以下から。 CSS2008において,WEPを一瞬にして解読する方法を提案しました. - 森井昌克 神戸大学教授のプロフィール WEPを一瞬で解読する方法...CSS2008で「WEPの現実的な解読法」を発表|神戸大学 教養原論「情報の
Windows98のセキュリティシステムをバイパスして突破する方法
手元にWindows98がないのでわからないのですが、Windows98のログインIDもパスワードもわからない状態で、セキュリティシステムを突破してしまう方法があるそうです。それをGIFアニメーションで解説しており、見てみるといかにもそれっぽく感じられます。 というわけで、真偽不明ではあるもののなんだか信憑性が高いようにも思えるWindows98のセキュリティシステムをバイパスして突破する方法を解説した画像は以下から。 以下がそのGIFアニメーション画像(ミラー) http://i33.tinypic.com/20ksw89.gif まずキャンセルをクリック 「OK」をクリック 「?」をクリック キャンセルボタンをクリック 何かヘルプが表示される 印刷を選ぶ 印刷のダイアログが出現、プロパティをクリックする ヘルプをクリックする ヘルプの目次を表示させる 検索タブを表示させる カスタムペー
【ハウツー】もう試しましたか? Googleの脆弱性発見ツール「ratproxy」 (1) XSS問題などを検出可能 | エンタープライズ | マイコミジャーナル
Webアプリケーション開発者にとって切っても切れない問題――それがセキュリティ対策だ。日増しに複雑になっていく要件・機能に対する脆弱性検査に悲鳴をあげているデベロッパ/テスターも多いことだろう。そのような中、あのGoogleが、社内でも活用している脆弱性発見ツールをオープンソース化して公開した。同ツールは脆弱性検査の新しい決め手となるか。以下、基本的な使い方や主要機能について紹介していこう。 Google社内で現役の脆弱性検知ツール - ratproxy Googleは1日(米国時間)、Webアプリケーションのセキュリティ監査を実施するツール「ratproxy」をリリースした。ratproxyはプロキシサーバとして動作するオープンソースソフトウェア。同ソフトウェアを経由してWebアプリケーションを操作することで、XSS(Cross Site Scripting)問題や不適切なXSRF(Cr
PHP/脆弱性リスト/メモ - yohgaki's wiki
なんだかやけに長い説明ばかり検索に引っかかったので書きました。 Linuxのローカル環境でDockerコンテナ内のXアプリ(GUIアプリ)を利用するには $ xhost localhost + を実行した後に $ docker run --rm --net host -e "DISPLAY" container_image_name x_app_binary_path とすれば良いです。 もっと読む SSHなどよく知られたサービスポートで何も対策せずにいると数えきらないくらいの攻撃リクエストが来ます。不必要なログを増やしてリソースを無駄にし、もし不用意なユーザーやシステムがあると攻撃に成功する場合もあります。 SshguardはC作られており、flex/bisonのパーサールールを足せば拡張できますがカスタム版をメンテナンスするのも面倒です。必要なルールを足してプルリクエストを送ってもマー
高木浩光@自宅の日記 - EV SSL導入に伴い生じ得る特有の脆弱性
ANSER WEBというASPサービスでインターネットバンキングを提供している金融機関が、EV証明書を導入した理由は、「NTT DATA CORPORATION」という社会的信頼の高い企業による運営であるという表示によって、利用者に本物サイトであることの確認手段を提供したことにあるのだから、これらの金融機関は、利用者が「NTT DATA CORPORATION」という名称さえ見てくれればいいことを前提としている。 しかし、もし、図3のように、ドブログのようなサイトでまで緑色で「NTT DATA CORPORATION」と表示されるような世の中になってしまったら、どうなのだろうか。 まず、少なくとも、EV証明書導入サイトがやってはいけないことがある。 もし、ドブログのユーザコンテンツ(つまりブログ)のページが、https:// でも表示できるようになっていたらどうか。どこの馬の骨ともわからな
無料のセキュリティ統合ソフト「Kingsoft Internet Security free」を使ってみた - GIGAZINE
アンチウイルスソフト、ファイアウォール、アンチスパイウェアなどの各種セキュリティ機能を統合し、さらにそれらの機能がすべて無料で利用できるのがこの「Kingsoft Internet Security free」。通常の脆弱性対策やフィッシング対策、保護機能だけでなく、スパイウェアが銀行口座・クレジット番号などを勝手にメール送信しようとしてもそれを食い止めることも可能です。 ちなみに、無料版ですが有料版とまったく同じ品質であり、法人による利用も可能、有料ユーザーと同じサポートも受けることが可能だそうです。 というわけで、インストール手順から実際のウイルス駆除の様子までをレポートしてみました。 ■ダウンロードとインストール編 まず、ソフトのダウンロードは以下から行います。 無料の総合セキュリティソフト/キングソフトインターネットセキュリティフリー 「今すぐダウンロード」をクリックすればダウンロ
Windowsで動作可能な無料の無線LANパケットキャプチャ「Omnipeek Personal」
いわゆる無線LANパケットアナライザとして有名なソフトでWildPackets社の「OmniPeek」(有線LAN用「EtherPeek」と無線LAN用「AiroPeek」を統合したLANアナライザソフトウェア)というのがあります。一番安いバージョンでも21万8000円というお値段なわけですが、驚くべきことに個人用途目的限定の無料版「Omnipeek Personal」が存在します。 Windows Vista/XP/2000、Windows Server 2003にインストール可能で、動作する無線LANドライバはAtheros製かIntel Centrino 3945ですが、別途ドライバをダウンロードすることによって、その他の無線LANであっても対応可能。802.11a/b/gだけでなく802.11nにも対応しており、WEPなどで暗号化している場合でもきちんとキーを入力すればアナライズ可
匿名化ツール『Tor』:重要情報を公開した研究者に、当局の家宅捜査 | WIRED VISION
匿名化ツール『Tor』:重要情報を公開した研究者に、当局の家宅捜査 2007年11月26日 IT コメント: トラックバック (0) Kim Zetter Photo: Dan Egerstad スウェーデン人のコンピューター・セキュリティー専門コンサルタント、Dan Egerstad氏は、匿名化ツール『Tor』の出口ノードを利用して傍受し、外国の大使館や企業、人権団体等が保有する1000件にのぼる電子メールアカウントのログイン情報とパスワードを入手した人物だ。ワイアード・ニュースでは8月に、同氏のことをとりあげた(日本語版記事)。 そのEgerstad氏が11月12日(米国時間)、スウェーデン当局の家宅捜査を受け、事情聴取された。 Egerstad氏(左の写真)によると、12日朝、車を移動させるためにマルメーにあるアパートの一室を出ようと玄関ドアを開けたところ、5人の私服捜査官が立ってい
窓の杜 - 【NEWS】実行中プロセスの危険性を判別してセキュリティ対策「a-squared HiJackFree」
ドイツのセキュリティソフトウェアベンダーEmsi Software GmbHは17日、実行中プロセスや開いているポートの一覧を表示し、危険性のあるプロセスを判別できるセキュリティ対策支援ソフト「a-squared HiJackFree」v3.0.0.387を公開した。Windows 98/Me/2000/XP/Server 2003/Vistaに対応するフリーソフトで、現在同社のホームページからダウンロードできる。 「a-squared HiJackFree」は、実行中のプロセスや、システムにインストールされたプロセスをさまざまな条件で一覧できるソフト。現在実行中のプロセスと関連モジュールの一覧をはじめ、開いているポートとその実行プロセス、スタートアップやレジストリに登録された自動実行プロセス、サービスとして動作中のプロセスなどの一覧を表示し、各プロセスの詳細情報を閲覧できる。 各プロセス
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IBM Developer
