Compiler ExplorerAdd new...Clone CompilerExecutor From ThisOpt RemarksStack UsagePreprocessorASTLLVM IROpt PipelineDeviceRust MIRRust HIRRust Macro ExpansionGHC CoreGHC STGGHC CmmGCC Tree/RTLGNAT Debug TreeGNAT Debug Expanded CodeControl Flow Graph
脆弱性検査を行うOSSツール「OpenSCAP」で何が分かるのか
脆弱性検査を行うOSSツール「OpenSCAP」で何が分かるのか:OpenSCAPで脆弱性対策はどう変わる?(4) 本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、OpenSCAPの環境を構築し、実際に試してみた。 まずはOpenSCAPを試してみよう OSSセキュリティ技術の会の面和毅です。本連載「OpenSCAPで脆弱性対策はどう変わる?」では、実質的にグローバルスタンダードの「SCAP(Security Content Automation Protocol:セキュリティ設定共通化手順)」、およびそれを基にシステム構成や脆弱(ぜいじゃく)性検査を行うためのOSS(オープンソースソフトウェア)ツール「OpenSC
Docker 公式のセキュリティ診断ツール「Docker Bench for Security」を試した - kakakakakku blog
最近 Docker 関連のセキュリティツールを調査する機会があり,今回は「Docker Bench for Security」を試したログを残しておく.「Docker Bench for Security」は Docker から公式に提供されているセキュリティ診断ツールで,具体的には「CIS Docker Community Edition Benchmark v1.1.0」をサポートしている. github.com コンテナ実行 「Docker Bench for Security」を実行する方法は複数ある.1番簡単なのはコンテナを実行する方法で,Docker イメージ「docker/docker-bench-security」が Docker Hub に公開されている. https://hub.docker.com/r/docker/docker-bench-security 注意点と
CTFで役立ちそうなツールの一覧 Windows編 - セキュリティこねこね
CTFで問題を解くために使えるかもしれないツールとサービスを3回に分けて紹介します。第1回はWindows編です。自身で未導入のものを含み、不正確な部分もあるかもしれませんが、ご参考まで。 Network Wireshark .pcapと.pcapngのネットワークパケットを解析 HTTPS通信の複合 秘密鍵を[設定]-[Protocols]-[SSL]-[RSA keys list]から以下のとおり指定 IP address:サーバのIPアドレス Port:サーバのポート番号 Protocol:http Key File:秘密鍵ファイル 右クリック→追跡→SSL Stream で暗号化された通信の中身を参照 無線通信の複合 Aircrack-ngで無線のパケットからWEPキーを割り出す > aircrack-ng victim.cap Wiresharkで複合する 1.[編集]-[設定]
Source Code Analysis Tools | OWASP Foundation
Contributor(s): Dave Wichers, itamarlavender, will-obrien, Eitan Worcel, Prabhu Subramanian, kingthorin, coadaflorin, hblankenship, GovorovViva64, pfhorman, GouveaHeitor, Clint Gibler, DSotnikov, Ajin Abraham, Noam Rathaus, Mike Jang Source code analysis tools, also known as Static Application Security Testing (SAST) Tools, can help analyze source code or compiled versions of code to help find sec
Pythonコードの安全を保つSAST(静的解析)ツール ~Bandit, Pyt~ - 好奇心の足跡
Python その2 Advent Calendar 2018 16日目の投稿が空いていたので、めっちゃ日が過ぎてますが飛び込み投稿。 今回は、昨今よく聞くようになった「DevSecOps」(DevOps + Security) 活動で重要になってくる、「セキュリティテストも自動で回す」を実現するためのツールを紹介します。 DevSecOpsについてはこのあたりを参照。2018年のトレンドらしいです。 2018年のトレンドは、DevOpsにセキュリティを融合した「DevSecOps」 (1/2) - ITmedia エンタープライズ 自動セキュリティテストには SAST, DAST, IAST と呼ばれるものがあります。 SAST: Static Application Security Testing(静的セキュリティ検査) ソースコード自体を解析・検査して脆弱性を見つけ出すもの 動くコ
JavaScriptコードの安全を保つSAST(静的解析)ツール ~ npm-audit, NodeJsScan, LGTM~ - 好奇心の足跡
Python編や、SASTツールとは?についてはこちら kusuwada.hatenablog.com 今回はJavaScriptで使えるSASTツールを紹介します。 npm-audit npm-audit とは 実行 NodeJsScan NodeJsScan とは installと実行 LGTM LGTMとは 登録と実行 参考リンク npm-audit npm-audit とは npm@6で追加された機能。npm install を実行すると自動的に実行され、インストールした node_module に対し既知の脆弱製の有無の確認を実施し、レポートを出力します。レポートには、対処方法に関する情報も含まれています。 また、version-upなどで自動修正可能な場合は npm audit fix コマンドで自動的に脆弱性を修正させることも出来ます。 公式ドキュメントページ 実行 実行は簡
コードを静的解析して脆弱性を検出する「SCALe」、米CERTがオープンソースで公開
米Software Engineering Institute(SEI)のCERT部門は、静的解析によってコードの脆弱性を検出するアプリケーション「SCALe」(Source Code Analysis Laborator)をオープンソースで公開しました。 SCALeは、複数の静的解析ツールをまとめて実行するためのフレームワークでできており、今回公開されたアプリケーションにはセキュリティに関するコーディング規約「SEI CERT Coding Standards」およびSQLインジェクション、クロスサイトスクリプティング、バッファオーバーフローなど多くのソフトウェアの脆弱性を体系的に一覧化した「CWE(Common Weakness Enumeration)」(共通脆弱性タイプ一覧)の2つをベースにしたツールが含まれています。 SEI CERT Coding Standardsは現在、C/
メール通知テストに便利な“ダミー”のSMTPサーバー「smtp4dev」
今回紹介するツール [ツール名]smtp4dev [対象]Windows [提供元]Robert N Wood、Microsoft Shared Source Community License(MS-CL) [ダウンロード先][URL]http://smtp4dev.codeplex.com/[英語](CodePlex) “ダミーのSMTPサーバー”って何者? 何のため? インターネットメールのプロトコルであるSMTP(Simple Mail Transfer Protocol)は、古くからシステム管理ツールのメッセージ通知にも利用されてきました。例えば、サーバーのダウン、ディスク領域不足、電源異常などなど、さまざまなトラブルやその予兆をIT担当者に電子メールで自動的に通知するといった使い方です。 SMTPによる通知機能が正常に動作するには、メッセージ転送が可能なSMTPメールサーバーが
Top Ten Computer/Digital/eDiscovery Software Picks for 2018
05/06/2018Posted by: Alistair EwingCategories: Computer Forensics, Software, Uncategorized Compiled here is the Top Ten of FREE Computer Forensic/eDiscovery software picks for 2018. Sometimes you do not need to spend £1000’s to get the job done. Paid software has its place but sometimes when you want one particular function only or to test out a hypothesis. So get downloading and examining using t
OSSのシステム脆弱性スキャン・検査ツール「OpenVAS」「Vuls」「OpenSCAP」を使ってみよう
はじめに 前回に引き続き、今回もシステムの脆弱性スキャン・検査ツールを紹介していきます。今回はOSSのOpenVAS、Vuls、OpenSCAPについて簡単に概略を解説し、機能比較を行います。 OpenVASの概略 OpenVASは、前回で解説したNessusがクローズドソースになった後、これまでに公開されていたOSSのソースコードをベースに開発が続けられています。基本的な構成はNessusと同じエージェントレスの脆弱性検査ツールで、2017年11月時点での最新のバージョンはOpenVAS-9です。 Linux版のOpenVASでは各ディストリビューション用のパッケージが用意されているので、そちらを用いた方が簡単にインストールできます。今回、筆者はUbuntu 17.10-desktopにUbuntu用のOpenVAS 9をインストールしました。インストールはhttps://launchp
Jeffrey's Image Exif Viewer has moved.
Jeffrey's Image Exif Viewer has moved. My image-data viewer has moved to http://exif.regex.info/.
OWASP ZAPで開発中にセキュリティ診断!
ウェブアプリケーションのセキュリティ対策を考える上で、リリース直前ではなく、開発中の早期の段階からセキュリティ診断を行い、すぐに脆弱性を修正するというサイクルを繰り返すことが重要です。本記事では、その実践に役立つオープンソースのセキュリティ脆弱性検査ツール「OWASP Zed Attack Proxy(以下OWASP ZAP)」のインストール方法と、主要な機能を紹介します。 はじめに アジャイルやDevOpsといった開発・リリース手法が知られるようになってきました。ウェブアプリケーションのリリーススピードを高めるために役立つからでしょう。また、ビジネスにおいて後れを取らないようにする目的においても期待されているようです。 しかし、そのような中でも、情報処理推進機構(IPA)が公開した資料によると、ウェブアプリケーションに対する攻撃が近年増加の傾向をたどっています。現実の開発現場では、リリー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
事前知識なしで理解する、静的検査のいろは / Introduction about static analysis without previous knowledge
GitHub - CyberDefenseInstitute/CDIR: CDIR (Cyber Defense Institute Incident Response) Collector - live collection tool based on oss tool/library
Defending WordPress with OSSEC
GitHub - AonCyberLabs/Windows-Exploit-Suggester: This tool compares a targets patch levels against the Microsoft vulnerability database in order to detect potential missing patches on the target. It also notifies the user if there are public exploits and
ツール分析結果シート
GitHub - evilsocket/bleah: This repository is DEPRECATED, please use bettercap as this tool has been ported to its BLE modules.
Searching Shodan For Fun And Profit