AAで図解!ずばり一目で全く解らないコンピュータセキュリティ
最終更新日: Wednesday, 29-Nov-2006 02:46:05 JST Webバグ CSRF (Cross Site Request Forgeries) DoS (サービス拒否) サニタイズ オレオレ証明書 Cookie Monster SQL インジェクション HTTP Response Splitting (レスポンス分割) HTTPのページのフレームにHTTPSのページを表示 バッファオーバーフロー フィッシング Forceful Browsing (強制ブラウズ) クロスサイトスクリプティング ゼロデイ(0day)攻撃 ディレクトリトラバーサル セッションハイジャック 権限昇格 OS コマンドインジェクション オープンプロキシ Webバグ \ __ / _ (m) _ビーコーン |ミ| / `´ \ ('A`
@IT:DBセキュリティ虎の巻 第3回
第3回 データベースアプリケーションのセキュリティ 星野 真理 株式会社システム・テクノロジー・アイ 2005/4/5 個人情報保護法(個人情報の保護に関する法律)がついに完全施行されました。セキュリティ対策の総点検、および補強作業は、着実に進みつつある、もしくは終了段階にある時期かと思います。もし、セキュリティ対策の進ちょくが芳しくないとすれば、それを遂行する体制に問題があるかもしれません。セキュリティ対策は、情報システム部やインフラ担当者だけで行えるほど単純なものではなく、各部署のエキスパートの知識と技術を統合してこそ実現することができるのです。 しかし、縦のつながりが強い企業において、組織を横断したチームが最初から存在しているケースは少ないのではないでしょうか。それ故、各部署のエキスパートによるチームを特別編成する必要があります。組織横断型のセキュリティ対策委員会です。インフラの構成
ひたすら無題 Ver2.0 | ブログで実名を名乗る大変さについて
勅使河原隊長隊長大変です!視聴者のペンネームミスター弁護士君から「隊長は勅使河原君と違って氏名が不明なので発言が信用ならない。」というお便りが! 隊長むう……こういう場合は「なぞにつつまれたかっこいい隊長についておしえてください」とかそういうお便りがきても……まあ、よい。そういうことならば仕方が無い。 よいか、良い子の諸君!私の名前は大剛寺凱。東京都千代田区皇居外苑1丁目のB-17Fがわれらの本拠地だ。 勅使河原嘘つけ! 隊長いきなり決め付けることは無いだろうに…何を根拠にそんなことを? 勅使河原名前がウソくさい上に皇居の地下17階に住んでるってあんた、人のこと舐めすぎですよ! 隊長何を言うのか、勅使河原君。いかにも左翼のレッドっぽい名前ではないか?一体どこに不自然が?だいたい皇居に大剛寺凱さんが住んでいないという証拠でもどこかにあるのかね? 勅使河原いや、そんなものは無いですけどどう考え
高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法
■ クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 「クロスサイトリクエストフォージェリ」がにわかに注目を集めている。古く から存在したこの問題がなぜ今まであまり注目されてこなかったかについて考 えているところだが、引越しやら転勤やらでいまひとつ日記を書く時間がない。 しかし、 @ITの記事などのように混乱させる解説も散見されるので、一点だけ対策 方法について書いておくとする。 クロスサイトリクエストフォージェリ――Cross-Site Request Forgeries (CSRF)を防止する簡潔で自然な解決策は以下のとおりである。 前提 ログインしていないWeb閲覧者に対するCSRF攻撃(掲示板荒らしや、ユーザ登 録を他人にさせる等、サイト運営者に対する業務妨害行為)はここでは対象と しない。 ログイン機能を持つWebアプリケーションの場合、何らかの方法でセッション 追
2005/03/15 自宅 「FreeBSDのgbde(4)による重要データの暗号化」
ファイルシステムの暗号化をしましょう ラップトップに重要なデータを入れて持ち運ぶのって怖いよね〜。 電車に置き忘れたらどうしようとか、盗まれたらどうしようとか、 まあ、最近は起動パスワードに加えて指紋認証だのといろいろあったりするけれども、 ディスクを取り出してアナライズされたらどうだとか、 いろいろありそうだし。 普通の人でも、メールの内容だけで結構アレな内容が入っているはず。 と、考えるとそこでファイルシステムやディスクの暗号化となるわけです。 ファイルシステムやディスクを暗号化するとすると、 とにかくディスク全部を暗号化するというポリシーが一つあると思うけれども、 ラップトップマシンの使われ方を考えるといろいろ問題があります。 たとえば、サスペンドから快適にレジュームするためには、 サスペンド状態から戻ってきたときに、 ファイルシステムが見えなくなっていては困ります。 かといって、
swatchとipfwでsshの不正アクセスを自動拒否する方法
はじめに sshのポートを開いていると、世界中からrootログインやありがちなアカウント(guestとか)でのログインを試すアクセスがやってきます。 通常はsshでrootログインなど許可していないので(してませんよね?)、被害がないはずなのですが、立て続けに何度もアクセスされると気持ち悪いことは確かなので、そのような接続元を自動的にアクセス拒否してしまおうというのが目的です。 OSはFreeBSD 5.4Rを前提とします。 swatchのインストール&起動 swatch 3.1.1をportよりインストールします。(詳細省略) /etc/rc.confに以下を追加します。 swatch_enable="YES" swatch_rules="1" swatch_1_flags="--tail-file=/var/log/auth.log --awk-field-syntax --co
Rootkit の話題って目立たないですネ
eXperts Connection はシステム エンジニアやシステム管理者を対象とし、マイクロソフトのサーバー システム製品を中心に情報交換や意見交換を行うコミュニティです。ユーザーとマイクロソフトからなるチームでテーマを厳選して議論し、情報を共有・蓄積していきます。また、エキスパート コネクションは .NET Framework上で作成されており、サイト上でソースコードを公開しています。ソースコードに対する機能追加や修正に関する議論を行うことで、お客様が作成する.NET アプリケーションの参考にすることが可能です。 eXConn Blogsでは 「マイクロソフト社員による個人または部門(チーム)の Blog」 の運用を行っています。 このブログでは、マイクロソフトでの経験を活かした部門チームが、セキュリティエンジニアを目指している未経験者達が今後取るべき資格や、IT業界においてのセキュ
Windows のパスワードを解析するツール(取扱注意) | alectrope
主にその日遊んだことのメモ、まとめなどの外部記憶。おそらくこれからもずっと準備中。 for mobile : http://alectrope.ddo.jp/mt4i/ ※ 注意。このツールを使用して他人のPC のパスワードを解析する行為は不正アクセス禁止法、あるいはその他の法律(コメント欄参照) で処罰の対象となると思われますので、絶対にそのような用途に使用してはいけません。この記事はそのような行為から自分のPC を守る事を目的としています。 Tech-Security » Ophcrack 2.1 - LiveCD (Linux) & 2.1 Install (Win) http://blog.tech-security.com/?p=15 「Ophcrack 2.1 - LiveCD - にわか鯖管の苦悩日記 _| ̄|● (2006-02-14)」 より。 Windows のパ
Lucrezia Borgia の Room Cantarella - 片手間? それとも無手間?
「毎日愛してるから」。とあるTV番組での台詞よ(あたくしの大好きな、品川庄司 の品川 祐くんが言ってたの)。 日本語の文法的にはちょっとヘンなんですけれども。でも、とても心の入った素敵な言葉じゃないかしら? 少なくとも「美辞麗句に飾られた中身に乏しい言葉」よりも何万倍もうれしくってよ? http://internet.watch.impress.co.jp/cda/news/2006/02/28/11056.html ふとこんなニュースを見かけたの。 http://internet.watch.impress.co.jp/cda/news/2006/02/28/11056.html より 日刊工業新聞社、技術者向けのブログとSNS「てくてくjp」プレオープン 日刊工業新聞社は、技術者向けのブログとSNSを提供するポータルサイト「てくてくjp(TechTech.jp)」を2月28日にプレオー
ITmedia エンタープライズ:リニューアルの隙を突かれて不正侵入――タイムインターメディアの場合
不正アクセスを受け、自社Webサーバにフィッシングコンテンツを埋め込まれてしまったタイムインターメディア。同社常務取締役の藤原氏が一連の経緯を振り返る。 「100%万全な防御ということはあり得ない。しかし、いざというときに備え十分に準備をしておくことが重要だ」――タイムインターメディアの常務取締役、藤原博文氏は、自社サイトにおけるインシデント被害の経験を踏まえ、このように語った。 同社は、日本語全文検索統合環境「Kabayaki」に関する情報を提供するポータルサイト「Kabayaki Web」を公開してきた。このサーバが2月、外部からの不正アクセスを受け、フィッシングメールをばら撒くツールを埋め込まれてしまった。同時に、騙(だま)されたユーザーをリダイレクトさせ、フィッシングサイトへと誘導する英文のコンテンツも仕込まれたという。 タイムインターメディア側が不正アクセスに関する連絡を受けたの
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
崎山伸夫のBlog - モバイル機器の指紋認証デバイスに頼ってはいけない
受け入れテスト用セキュリティチェックリスト for Webアプリケーション
Think positive, act positive | 20050427
『[Tool] Webオンラインセキュリティチェックサービス』