Makoto Shiotsuki - Network Security Consultant
Windowsセキュリティ・ワンポイントレッスン 第3回 ソフトウェア制限ポリシーによるマルウェア対策 2010年7月、ソフトウェア制限ポリシーの概要、マルウェア感染対策としての有効性、具体的な設定例、使用上の注意点などに関する解説。 第2回 USBメモリ経由でのマルウェア感染を防ぐには 2009年8月、USBメモリ経由でのマルウェア感染の仕組みや、Windowsの自動実行機能(AutoRun)との関係、AutoRun停止による感染防止方法等に関する解説。 第1回 ハイバネーションの危険性 2009年4月、ハイバネーションファイルからの情報漏洩やハイバネーション・パッチによるユーザ認証回避など、Windows環境におけるハイバネーション(休止状態)の危険性および対策に関する解説(デモ映像付き)。 雑誌記事・書籍 【ネットワーク・セキュリティ最新実践講座】第6回/DNSに不正介入するファーミ
オンラインソフトを使え! 「第12回 Netcat」
本文書は、NetworkWorld誌に寄稿した記事の原稿を、IDGジャパン編集部殿の許可を得た上で掲載したものです。 システム管理をしていると、システムの動作確認などでSMTPサーバやWebサーバ等に直接アクセスし、生のプロトコルで通信したいといったケースがよくある。今回はそのような時に便利なツール、「Netcat」を紹介しよう。 NetcatはHobbit氏によって開発された、汎用TCP/UDP接続コマンドラインツールである。接続先IPアドレス(もしくはホスト名)とポート番号を指定することにより、その接続先の該当するポートで待ち受けているサーバソフトウェアと通信することができる。またリッスンモードでは、指定したポート番号で通信を待ち受け、接続してきたクライアントソフトウェアと会話することも可能だ。 Netcatのインストール Netcatは1995年から1996年にかけて開発が行われ、1
@IT:Webアプリケーション: 第3回 気を付けたい貧弱なセッション管理
※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 「第2回 顧客データがすべて盗まれる」は、クロスサイトスクリプティング(XSS)と同様に実際のプログラミングを行うプログラマの責任であるという対策で、最も危険と思われるSQL InjectionとOS Command Injectionについて紹介した。今回は、プログラミング以前の設計段階で潜り込むセキュリティホール――見落としがちなセッション管理の脆弱性について説明していく。 We
開発者のための正しいCSRF対策
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
NHKとリニアと原発の関係。- セキュリティホール memo
復刊リクエスト受付中: ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票) 中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可) 陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票) 林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票) 田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定) RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。 今すぐ Really Simple Syndication がほしい人は、のい
ネットが新しいデスクトップになる! 仕事に使えるGoogle入門第9回:Googleトランジット
新規の取引先への行き方を調べるとき、連続した移動を効率よくこなしたいときなど、都市部での移動をスムーズに行なうために、乗り換え検索の情報は欠かせない。ひととおりの路線図は頭に入っていても、急ぐときにはとにかく速いルート、少し余裕があるなら経費節減のために安価なルートと、複雑な条件で検索してみると、知らなかった乗り換えルートが見つかることもある。 乗り換え検索サービスが数多くあるなか、Googleの乗り換え検索サービス「Googleトランジット」は、利用頻度の高い同社のWeb検索との連携が非常に魅力的だ。トップページ「http://www.google.co.jp/transit」もあるが、Web検索から簡単に利用できるため、ここも利用する機会は多くない。 また8月5日から、日本でもGoogleマップのストリートビュー機能が提供開始された。ストリートビューであらかじめチェックすることで、はじ
@IT: 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
ある日、大手SNS(Social Networking Site)のmixiの日記にこのような書き込みがあった。それも1人だけでなく、同日に数多くのユーザーの日記に同じ文面が掲載されていた。 これは、単にこのような文章がはやり、ユーザー自身が意図して掲載したのではなく、ある仕掛けによってユーザー自身が気付かないうちに引き起こされた現象なのである。その仕掛けとは、CSRF(Cross-Site Request Forgeries)と呼ばれる攻撃手法の一種だ。 編集部注: 現在、「はまちちゃん」トラップは、mixi運営者により対策されています。上記のサンプルは、mixi風に再構成したものです。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください
@IT:Webアプリケーションに潜むセキュリティホール(2)- Page1
顧客データがすべて盗まれる?!~OSやデータベースへの攻撃~:Webアプリケーションに潜むセキュリティホール(2)(1/2 ページ) ※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 「第1回 サーバのファイルが丸見え?!」では、「Forceful Browsing(強制的ブラウズ)」や「Path Traversal(パスの乗り越え)」によって、任意のファイルを読み出されてしまう危険性について紹介した。 今回は、Webアプリケーショ
@IT:インシデントレスポンスはじめの一歩 第1回
攻撃者の侵攻からサイトを守ることの必要性についての認識はここ数年で高い水準にまで向上した。しかし、実際に侵入を発見すること、そしてその事後対応については認識が薄いのが現状である。攻撃者が行うことの代表格としてバックドアの設置があるが、バックドアを検知するためには、バックドアがどのようなしくみで動作しているのか、どのようなしくみで裏口を作成するのか、どのようにしてシステムに埋め込まれるのかといった手法そのものを知ることがまず必要であり、それが防御の第一の方法だろう。 本連載では、まず攻撃者の侵入で仕掛けられることの多いバックドアやトロイの木馬、rootkit(ルート・キット)について解説する。その後、rootkitのしくみを解説し、それを検出するための実践的なオペレーションワーク手順を解説し、理解していただくことを目標とする。読者の方にとって「インシデントレスポンス」の参考としていただければ
@IT:Webアプリケーションに潜むセキュリティホール(1)
※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 最近Webアプリケーションに存在するセキュリティホールが注目を浴びている。その中でも「クロスサイトスクリプティング(XSS)」と呼ばれる脆弱性が有名で、「特集 クロスサイトスクリプティング対策の基本」という記事で詳細に解説した。しかし、Webアプリケーションに潜む脆弱性はXSSだけではなく、XSSよりもはるかに危険性の高いセキュリティーホールが存在する。 本稿では、Webアプリケーシ
PHP で WEB作成
愛知県のホームページサポート ウェブサイト作成するとき、PHPやMySQL等のオープンソースソフトウェアを使う事が多いです。 オープンソースとは、プログラムの設計図が公開されていて、自由にカスタマイズして使うことができるソフトウェアのことです。 オープンソースソフトウェアを使う事で、お客様のご要望に応じたきめ細かいカスタマイズが可能です。 オープンソースのホームページ制作ツールとして有名なものに、ワードプレス(WordPressと書きます。ワールドプレスではありません)があります。 世界中の技術者がオープンソース開発に参加することができ、より優れたものに発展していきます。 PHP で WEB作成では、WordPressの他にも、FuelPHPフレームワークを使用したコンテンツ管理システム Novius OS, ウェブページ構築ツール concrete5 に積極的にコミットしているプログラマ
@IT:クロスサイトスクリプティング対策の基本
最近Webアプリケーションに存在するセキュリティホールが注目を浴びている。その中でも「クロスサイトスクリプティング」と呼ばれる脆弱性が有名であるが、クロスサイトスクリプティング脆弱性について正確に理解している人が依然として少ないと感じる。 本稿では、クロスサイトスクリプティングとはどのような脆弱性であるのか、この脆弱性を持ったサイトが攻撃されるとどのような被害が起き得るのか、なぜそのようなセキュリティホールが作り込まれてしまうのか、どのように対策をすればよいのかを解説していく。 ※以下本文中では、クロスサイトスクリプティング脆弱性のことを「XSS」と表記する。「Cross Site Scripting」の略であるから「CSS」と表記している記事もあるが、「Cascading Style Sheets」の略も「CSS」となり紛らわしいため、「XSS」と表記する場合が多くなってきている。本稿で
scenecritique
SceneCritique IRC (Internet Relay Chat)とは、元来、専用クライアントを用いてテクストベースでリアルタイムの対話を行うためにインターネット上に構築されたネットワークであった. 就中ここSceneCritique(SC)では一般のIRCネットワークと異なる特性を持つサービスが稼働している. 従来のIRCシステムへの補遺として、SCは以下を提供する: 1. Webブラウザによるログイン 2. ユーザアカウント/チャンネルメンバーシップの包括管理システム 3. ユーザホスト/IPアドレス非表示(一意性は保持) 4. 日本語対応 これらにより、SCでは、ユーザがプライバシーを維持しつつ高品質なIRCサービスを享受することが可能である. [SCへ参加] [ユーザコントロールパネル] IRCクライアントでログインする場合、サーバアドレスは irc.scenecrit
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
情報セキュリティのNRIセキュア
行動ターゲティング広告はどこまで許されるのか インターネット-最新ニュース:IT-PLUS