※こちら、記事公開から3年以上経過したので、コメント機能をクローズさせていただきました。予めご了承ください。 ophcrackっていうアプリケーションがあって、これを使われるとデフォルト設定のWindowsXPに設定されているパスワードなんてのは数分で解析されてしまいます。 あなたのパソコンが万が一盗難にあったらどうしますか? よかった・・・パスワード付けといて・・・。 なんて言っても、ちゃんとした防衛策を施していないとほとんどパスワードなんて物も意味無いわけです。ophcrackによるクラックは最近だとオーソドックスな部類に入るのかもしれませんが、以外と対策が施されている端末なんて少ない物です。 今回はophcrackを使ってどの程度まで簡単にパスワードクラック出来るかを検証します。もちろん防衛策もね。 ophcrackの使い方 下記サイトからophcrack-livecdをダウンロード
2009/08/28追記 Microsoftから対策パッチが出たので誘導。こっち参照 これはいいものだ。 Nick Brown's blog: Memory stick worms (from セキュリティホール memo) 1.メモ帳を起動し、以下をコピペ REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist" 2.「NOAUTORUN.REG」*1というファイル名で保存 3.「NOAUTORUN.REG」をダブルクリック これでUSBメモリのAutorun.infも、CD-ROMのAutorun.infも、DVD-ROMのAutorun.infも、いかなるメディアのAutorun.infも全部無効
■ 日本のインターネットが終了する日 (注記:この日記は、6月8日に書き始めたのをようやく書き上げたものである。そのため、考察は基本的に6月8日の時点でのものであり、その後明らかになったことについては脚注でいくつか補足した。) 終わりの始まり 今年3月31日、NTTドコモのiモードが、契約者固有ID(個体識別番号)を全てのWebサーバに確認なしに自動通知するようになった*1。このことは施行1か月前にNTTドコモから予告されていた。 重要なお知らせ:『iモードID』の提供開始について, NTTドコモ, 2008年2月28日 ドコモは、お客様の利便性・満足の向上と、「iモード(R)」対応サイトの機能拡充を図るため、iモード上で閲覧可能な全てのサイトへの提供を可能としたユーザID『iモードID』(以下、iモードID)機能を提供いたします。 (略) ■お客様ご利用上の注意 ・iモードID通知設定は
Posted by Shugo Maeda on 3 Mar 2008 Rubyに標準で添付されているWEBrickライブラリにおいて、 このライブラリに含まれるローカルファイルシステム上のファイル (およびディレクトリ)を公開する機能を使用した場合に、公開を意 図していないリソースにアクセスが可能となる問題が発見されました。 特に、Windowsでこの機能を利用した場合には、ディレクトリトラ バーサルにより、プロセスの権限で読み取り可能な任意のファイル に対するアクセスが可能となります。 影響 この脆弱性は以下の状況で発生します。 WEBrick::HTTPServer.newの引数として、 :DocumentRootを指定してファイルを公開する場合 WEBrick::HTTPServlet::FileHandlerサーブレットを 利用してファイルを公開する場合 この脆弱性は以下の環境で
2008年01月05日02:45 カテゴリ翻訳/紹介Code 試訳 - コードをセキュアにする10の作法 全コーダー必読。プログラマーだけではなく法を作る人も全員。 Top 10 Secure Coding Practices - CERT Secure Coding Standards 突っ込み希望なので、いつもの「惰訳」ではなく「試訳」としました。 Enjoy -- with Care! Dan the Coder to Err -- and Fix コードをセキュアにする10の作法 (Top 10 Secure Coding Practices) 入力を検証せよ(Validate input) - 信頼なきデータソースからの入力は、全て検証するようにしましょう。適切な入力検証は、大部分のソフトウェア脆弱性を取り除きます。外部データは疑って掛かりましょう。これらにはコマンドライン引数、
■ 住民票コードを市町村が流出させても全取替えしない先例が誕生する? 愛媛県愛南町の住基情報がWinnyネットワークに流出させられた事故では、住所、氏名、生年月日、性別と共に住民票コードも流出しているとのことだが、報道によると、愛南町は、「住民票コードの変更を求める住民については変更に応じる」とされていた。愛南町の発表文を確認してみると次のように書かれている。 愛南町では今後、5月21日(予定)から職員全員で関係する全世帯を訪問し、情報が流出したことについての説明とお詫びに伺う所存でございます。また、住民票コードの変更を希望される方には、変更申請を行っていただくようお願いいたします。 愛南町の住民の個人情報の流出に関するお詫びとお知らせ, 愛媛県愛南町, 2007年5月18日 「変更に応じる」と言っても、今回の事故の対応措置というわけではなく、元々、住民票コードの変更は平常時から用意されて
jbeef曰く、"セキュリティホールmemo経由、葉っぱ日記10月17日のエントリによると、2005年5月にIPAの脆弱性情報届出窓口に届け出られたmixiの欠陥の件が、1年半たってようやく決着したという。この欠陥は、mixi内でアップロードされた画像が、mixiにログインしていなくても画像のURLを指定すれば誰にでも閲覧できてしまうというもの。もっとも、数百万人の会員がいるとされるmixiでは、いずれにせよ誰にでも見られるのに等しいのだから問題じゃないという考え方もあろう。しかし、「友人まで公開」に設定している日記の画像はどうだろうか。普通のユーザなら、写真画像も「友人まで公開」だと信じて貼り付けるのではなかろうか。 葉っぱ日記によると、IPAはこれを脆弱性として受け付け、取り扱いを開始したものの、11か月後の2006年4月になって、ミクシィ側からギブアップの連絡があったという。その内容
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く