Tomcatのセキュリティとリスクの基本分かってる? (1/4) - @IT
Tomcatのセキュリティとリスクの基本分かってる?:Tomcatはどこまで“安全”にできるのか?(4)(1/4 ページ) 前回までで、Tomcat 6系に関する機能や設定、運用といったところに触れてきました。今回と次回は2回に分けて、いよいよTomcatを運用していくに当たってのセキュリティ面に着目していきたいと思います。 「セキュリティ」対策をしないと、人生が変わる? 「セキュリティ」という言葉が注目され始めた2000年からすでに8年が経過し、時代は2008年となりました。いまのご時世、パソコンを使う人はみな耳にする、この「セキュリティ」とは一体何のことなのでしょうか? 一般的な解釈に従えば「セキュリティ」=「パソコンの安全性」になります。「ウイルス」や「不正アクセス」に対する安全性のことを指し、さまざまな対策を行うことで「セキュリティ」を保ち脅威から身を守ります。 それでは実際に「セ
15種類のSQL Injectionツール評価
ここのところ、いくつかのSQL Injectionツールについて調べていました。今日はその結果を日記に書いてみようと思います。 はじめに SQL Injectionツールとは SQL Injection脆弱性の発見と、発見した脆弱性を突いてのDB内情報の取得を行なうためのツールです。 ただし、多くのツールでは「脆弱性の発見」はおまけで、後者のDB内情報の取得に主眼を置いています。一般的には、汎用のWeb脆弱性スキャナなどで脆弱性を見つけて、その脆弱性に対してこの日記に書いているようなツールを使って情報を取得するという使い方をすることが多いでしょう。 SQL Injectionツールは、いわゆるHackingツールです。脆弱性検査を行なう者か、さもなければCrackingを行なう犯罪者が使うくらいで、一般のWeb開発者やユーザの人が使う必要に迫られることは無いでしょう。 ツールの使用に際して
アンチウイルスソフトウェアランキング、最強はどれ?
ウイルスなどからパソコンを守ってくれるアンチウイルスソフトウェア。気になるのは実際のところどれぐらい防御してくれるのか?ということ。 というわけで、14万7184種類のウイルスを用意し、各社のアンチウイルスソフトウェアの設定をデフォルトではなく、機能の許す限り「最高」の防御レベルにまで引き上げた上で実験した結果です。果たしてどのアンチウイルスソフトウェアが1位なのでしょうか…? なお、有名どころだと、マカフィーは13位、ノートンは22位、ウイルスバスターは海外ではPC-Cillinという名前で27位です。 Antivirus programs and protection guide, virus info, antivirus tests, Free Antivirus Tools! ベスト10は以下の通り。 1位. Kaspersky version 6.0.0.303 - 99.62
いろいろなネットワーク機器などのデフォルトパスワードリスト
主にシステム・アドミニストレータ向けに作成されたリストで、何かの理由でパスワードを紛失し、初期状態のパスワードを使わざるを得なくなった際にすぐに役立つようにできています。覚えておいて損はないかも。ネットワーク機器が多いですが、それ以外のも掲載されています。 リストは以下から。 Default password list http://dopeman.org/default_passwords.html 掲載されているメーカーは3Com、ACC、Adaptec、APC、Apple、AT&T、AXIS、BreezeCom、Buffalo/MELCO、Cisco、Compaq、Dell、Ericsson、fujitsu、Hewlett Packard、IBM、Intel、Linksys、Netgear、Novellなど。確かにいざ設定するという時になってパスワードを忘れてしまうことが多く、マニュ
ソニーが音楽CDに組み込んだ“Rootkit”とは何者か? ― @IT
先週、私はRootkitRevealer(RKR)の最新版をテストしていた。システムの1つをスキャンしてみて驚いた。Rootkitが入り込んでいる形跡があったからだ。Rootkit(ルートキット)とは、ファイル、レジストリ・キー、そのほかのシステム・オブジェクトを、診断ソフトやセキュリティ・ソフトウェアから隠ぺいする技術のことだ。これは通常、マルウェア(不正なソフトウェア)が自らの存在を隠そうとして使用する技術である(Rootkitについては、Windows IT Pro Magazine 6月号掲載の記事“Unearthing Root Kits”に詳しく書いた(訳注:該当記事は契約購読者のみ閲覧可能。Rootkitに関する日本語の記事としては関連記事も参照)。RKRの結果ウィンドウによると、隠しディレクトリが1つ、隠しデバイス・ドライバがいくつか、そして隠しアプリケーションが存在してい
機能満載、多彩な仕掛け、それがボットの姿
犯罪をも引き起こすボットは、さまざまな経路をたどって侵入してくる。それも、たくさんの機能を備えて。その仕組みも、よく練り上げられている――。 複数台立てられている指令サーバ ボットに感染したコンピュータ群が、ボットネットをオンラインで運用管理するボットネット・ハーダーからの指令を待つ――ボットネットを構成するメカニズムは、いろいろある中でチャットの標準技術である「IRC(Internet Relay Chat)」を用いてネットワークを構成するものが多い。標準技術であるため目立たず、不正が発覚しにくいからだ。インターネット上に存在するIRC機能を実装する複数のサーバに侵入し、ボットに感染したコンピュータの指令サーバとして仕立て上げ、ボットネット・ハーダーの命令をボット化した各コンピュータに伝える中継地点とするのである。 指令サーバを複数台立てるのは、そのうちの1台が停止した場合などでもほかを
Webアプリケーションを作る前に知るべき10の脆弱性 ― @IT
Webアプリケーションが攻撃者に付け込まれる脆弱性の多くは、設計者や開発者のレベルで排除することができます。実装に忙しい方も、最近よく狙われる脆弱性のトップ10を知ることで手っ取り早く概要を知り、開発の際にその存在を意識してセキュアなWebアプリケーションにしていただければ幸いです。 Webの世界を脅かす脆弱性を順位付け OWASP(Open Web Application Security Project)は、主にWebアプリケーションのセキュリティ向上を目的としたコミュニティで、そこでの調査や開発の成果物を誰でも利用できるように公開しています。 その中の「OWASP Top Ten Project」というプロジェクトでは、年に1回Webアプリケーションの脆弱性トップ10を掲載しています。2004年版は日本語を含む各国語版が提供されていますが、2007年版は現在のところ英語版のみが提供さ
2006-04-12
外部から自宅のWindowsにリモートデスクトップで繋いでみた。 目的はVPNを使わない環境でなるべくセキュアに繋ぐ。 自宅ではSSH:22とVNC:5901を空けておく。繋ぎ先はVineにしておく。 VNCとrdesktopを入れておく。 apt-get install vnc apt-get install rdesktop SSHは鍵付きにしておく。簡単な方法はまた今度。 SSHでVineに入る。 vncserverを立ち上げる。 VNCを繋ぐ。 そこからrdesktopを起動する。 終わったら vncserver -kill hostname:1 でVNCを落とす。 rdesktopは以下のように使う。 rdesktop -a24 -g1152x864 -k ja 127.0.0.1 aオプションで色数を指定する。 gオプションで解像度を指定する。 kオプションでキーボードの指定を
ScanNetSecurity - ホワイトペーパー 「Apache とIIS における改ざん傾向比較」
【目次】 はじめに 1.改ざん件数推移 − 全体 2.改ざん件数推移 − OS 別比較 3.2003 年〜2005 年の月毎改ざん件数推移 − Apache, IIS 比較 4.攻撃対象となるサイトの傾向分析 付録:LAMP スタックと.net,IIS の管理工数比較表 (1〜4…Zone-H 製作 / 付録…ScanDailyExpress 編集部製作) 【本文抜粋】 Web 開発者やセキュリティ専門家、政策決定者などの間では、オープンソースの安全神話という考え方が実測に基づいた議論として必ずしも定着していない。 この報告書は、世界的なWeb 改ざんアーカイブを保有するハッキングコミュニティ、Zone-H の過去5 年間の蓄積された統計資料を基に、世界規模で広まりつつあるセキュリティ優位性の“オープンソフトウェア神話”に一石を投じる試みである。(Zone-H ジャパン
SQLインジェクションをスキャンしてくれるツール: ある SE のつぶやき
無料で使えるSQLインジェクション対策スキャナ トップ15(ホームページを作る人のネタ帳) フリーの SQLインジェクション スキャナー トップ15(うさぎ文学日記) なにやら、SQLインジェクションをスキャンしてくれるツールがあるようです。 SQLIer Sqlbftools SQL Injection Brute-forcer (.tar.gz) SQLBrute (.py) BobCat sqlmap: a blind SQL injection tool Absinthe :: Automated Blind SQL Injection SQL Injection Pentesting TooL SQID - SQL Injection digger Blind SQL Injection POC (.pl) SQL Power Injector FG-Injector Frame
ブラウザで閲覧するだけでWebアプリの脆弱性を検査できる無料サービス
アシアルはWebアプリの脆弱性(セキュリティ・ホール)を検査できるサービス「Chorizo!」を開始した。ブラウザでプロキシとしてChorizo!のサーバーを指定し,対象サイトを閲覧するだけで検査できる。サーバー内部からの検査やスキャンの履歴・解析,アドバイザ機能などを備えた有償版も提供する。 検出できるWebアプリケーションの脆弱性は,クロスサイト・スクリプティング(UTF7によるものを含む),SQLインジェクション,クロスサイト・リクエスト・フォージェリ,コードインクルージョン(入力時にファイルのインクルードを指定する)など。入力データに対する出力をチェックして脆弱性の存在を判定する。 ブラウザでプロキシとしてChorizo!のサーバーを指定し,検査対象ページにアクセスすると,Chorizo!のサービスが検査を行う。アクセスしたページだけではなく,そこからリンクされているページすべてを
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Yahoo
www.nutsecurity.com
