ITMediaにとんでもなく危険なLifeHackが載ってる件 - nak2kのブログ
しかも、「mshta [任意のURL]」と入力すれば、WebページをHTA(HTMLアプリケーション)として開くことも可能だ。 「ファイル名を指定して実行」の便利な使い方(その1) - ITmedia エンタープライズ このTips、HTMLアプリケーションとしてWebページを実行した場合はIEのセキュリティゾーンがローカルコンピュータの状態で実行されるから、表示したWebページでは「どんなスクリプトでも」動かせてかなり危険。 以下のようなスクリプト(MicrosoftのJScriptについてのヘルプに載ってるサンプル)を含んだHTMLを上記の方法で表示してみたよ。 <script> var fso = new ActiveXObject("Scripting.FileSystemObject"); var a = fso.CreateTextFile("c:\\testfile.txt"
USBメモリを用いたソーシャル・エンジニアリング
ソーシャルエンジニアリングの第一歩は、「組織内の人に化けること」にある。イーサン・ハントみたく化けの皮を被る必要もない。もっと重要なのは、機密ではないが、組織内の人しか知りえないような情報を知っていること。例えば座席表やビルドサーバの名前だとか。 ひとたび組織内の人に化ける情報を得たならば、攻略はぐっと楽になる。「欺術」を参考に潜入を進めることができる(ホントにやっちゃダメよ)。ここでは、USBフラッシュメモリを使って最初のハードルを効率的に超える方法を考えてみよう。 オフィスの受付窓口の片隅や、社員食堂(外の人も入れる)の廊下でUSBメモリを拾ったら、どうするよ? USBメモリなんてありふれているし、最近じゃオサレな奴やカワイイ系まで出回っているぐらいだ。誰かが落としたんだろうな… で、何が入っているのだろうか? で、自分のPCに挿してみる…が、すぐに覗けない。それぐらい知ってるって、し
)
ハッカーがネットワークに侵入する方法
TechNet Magazine の内容の TechNet ライブラリへの移行 これまで TechNet Magazine に載せられてきた技術コンテンツは、2016 年 9 月以降、TechNet ライブラリの指定されたセクションに移行されます。 TechNet Magazine は、2005 年から 2013 年 10 月まで発行されました。2005 年に 3 号、2006 年から 2012 年は 12 号ずつ、2013 年に 10 号発行されました。最終号と同時に、TechNet では Microsoft TechNet Companion アプリが発表され、製品、機能、近日予定のイベントに関する最新のニュースが事実上どこからでも確認できるようになりました。スマートフォン、タブレット、PC から、カスタマイズ可能なフィード、ストリーミング ニュース、Microsoft コンテンツの統
そろそろCSSハックの良し悪しについて考えてみる(書式編) | Blog hamashun.com
関連リンク そろそろCSSハックの良し悪しについて考えてみる(書式編) そろそろCSSハックの良し悪しについて考えてみる(管理編) おまけ付き Re:CSS の用途をわざわざ (X)HTML に限ることはない スターハックに端を発するアレコレ スターハックに端を発するアレコレ まとめ編 フルCSSでサイトを制作する際に、まだまだ避けては通れないのがCSSハックです。 巷には色んなハックが溢れていますが、今回は良いハックと悪いハックを『書式』をキーにして考えてみたいと思います。 なお、ハックはあくまで最終手段であり、使わないにこした事は無いという事を、事前に書いておきたいと思います。 また、一部CSSハックと呼ぶには語弊があるテクニックもありますが、ブラウザ実装の差異に対する技術、といった意味合いで、この記事ではハックで統一しています。 バリデータに通るか否か まず最低条件として、バリデータ
Geekなぺーじ:クラッカーがGoogleを使って脆弱なサイトを探す方法の例
Googleを使って脆弱性のあるサーバを探す手法を「Google Hacking」と言いますが、その検索方法を大量に集めた 「Google Hacking Database (GHDB)」というサイトがあります。 そこでは様々な検索キーワードが紹介されています。 紹介されているものを、いくつかピックアップしてみました。 (ただし、多少古いです。) このような検索を行って脆弱性のあるサーバを探している人が世の中に結構いるみたいです。 サーバを運用している方はご注意下さい。 これらの情報は既に公開された情報なので、検索結果にはワザとこのような情報を流して侵入を試みる人を誘い込もうとしているハニーポットが含まれている可能性もあります。 秘密鍵を探す 秘密鍵は公開鍵と違って秘密にするものなので発見できてしまうのは非常にまずいです。 BEGIN (CERTIFICATE|DSA|RSA) filet
Windows のパスワードを解析するツール(取扱注意) | alectrope
主にその日遊んだことのメモ、まとめなどの外部記憶。おそらくこれからもずっと準備中。 for mobile : http://alectrope.ddo.jp/mt4i/ ※ 注意。このツールを使用して他人のPC のパスワードを解析する行為は不正アクセス禁止法、あるいはその他の法律(コメント欄参照) で処罰の対象となると思われますので、絶対にそのような用途に使用してはいけません。この記事はそのような行為から自分のPC を守る事を目的としています。 Tech-Security » Ophcrack 2.1 - LiveCD (Linux) & 2.1 Install (Win) http://blog.tech-security.com/?p=15 「Ophcrack 2.1 - LiveCD - にわか鯖管の苦悩日記 _| ̄|● (2006-02-14)」 より。 Windows のパ
Windowsパスワード解析
今回は、自宅WindowsXPのパスワード解除を検証してみます。 Administratorのパスワード忘れたしまった方、セキュリティーについて考えている方参考にどうぞ。 普段使っているWindowsPCに先ほどのCDを入れて起動させますと・・・ なんとLinux(Ubuntu Linux )がbootするではありませんか!ちなみにCDからブートさせるので WindowsOSは無事です。 しばらくすると、ターミナルが起動し、プログラムが勝手に走ります。 あら、パスワード検索してますよ・・・ すると、5分ぐらいですかね、全ユーザのパスワードが検索されてしまいました。 しかも、それなりに複雑なパスワードだったに・・・。怖いですね〜。 調べてみると、レジストリ内のSAM(Security Account Manager) を総当たりで解析するらしい。 で、対策
本当に怖い「パスワード破り」:ITpro
パスワードを破ってFTPサーバーやSSHサーバーに不正侵入しようとする攻撃が後を絶たない。IBM ISSのセキュリティオペレーションセンター(SOC)でも多数検知している。本稿ではパスワード解析の脅威を再認識していただくために,ハニーポット[注1]を使った調査結果を基に,その実際の手口を解説したい。 注1 ハニーポットとは,攻撃者やワームなどをおびき寄せ,侵入後にどんな行動をとるかを監視・観察するためのシステムのこと(用語解説)。今回使用したハニーポット環境では,侵入した攻撃者が悪用できないようにアクセス制限を施し,外部への不正なパケットを制御した。 侵入後の振る舞い ハニーポットによる調査期間は2006年9月1日から9月25日。以下では,実際にパスワードを破られて侵入された事例を紹介する。 システム・ログを確認したところ,この事例では,SSHサービスに対する認証が特定のIPアドレスから3
いかんともしがたい: WEB 上にひっそりと置かれている MP3 の検索方法
■ ひっそり MP3 サーチ 気になるアーティストの mp3 ファイルを探して公式サイトやレーベルサイトをまわるのは当然として、個人でサーバ上にひっそりと置いている mp3 ファイルを検索するこんな方法もあるので紹介します。 google にアクセス"intitle:index.of" mp3 と入力して 検索 これだけです。[ ウェブ全体から検索 ] をチェックして、検索欄にアーティスト名を加えて検索するともっと効果的でしょう。 検索すると上の画像のような感じのページが出てきます。この場合は 1.8MB の mp3 ファイルがひとつありますね。 これだけは注意して欲しいのですが、いわゆるメジャーのレコード会社に所属しているアーティストの場合、この方法で検索できるのはかなりの高確率でイリーガルな音源です。 たとえば "intitle:index.of" mp3 Ringo で検索できる椎名
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Google Mapsで超ズームを実現する裏技 | i d e a * i d e a