人の造りしもの――“パスワード”の破られ方と守り方
パスワードを破るのも人ならば、それを守るのも人。今回はあなたのパスワードを守るために、「今すぐできること」を解説します。 ※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、アンチウイルスソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。 また、本記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 第8回「魂、奪われた後――弱いパスワードの罪と罰」では、攻撃者がシステムへ侵入した後、どのようなことを行うのかをペネ
JavaScriptを使ってイントラネット内を外から攻撃する方法:Geekなぺーじ
「Hacking Intranet Websites from the Outside」という講演が2006年にありました。 Black Hatでの講演です。 以下に説明する手法は既に公開されてある程度時間が経過している情報なので、ご存知の方にとっては既に古いとは思います。 詳細はプレゼン資料をご覧下さい。 概要 ファイアウォールなどに守られたイントラネットやホームネットワークの内部を攻撃する手法が解説してありました。 JavaScriptの基本仕様を組み合わせて情報を収集するというものでした。 最終的には、プリンタから印刷を行ったり、ルータの設定を変更するなどの攻撃が可能になるようです。 それ以外にも、Web経由で設定変更が出来るものは状況によっては影響されるかも知れません。 プレゼン後半ではCSRF(XSRF, cross-site request forgery)も解説されていました
MOONGIFT: » ソースを見てActionScriptの勉強「Flare」:オープンソースを毎日紹介
プログラムの最も早い習得方法は、他人のソースを見ながら勉強することだ。興味がもてる材料だけに、ただ本を眺めるよりも効率的に覚えることができる。 では興味の対象がソースを公開していなかったらどうしたら良いだろう。そのためにこれがある。 今回紹介するフリーウェアはFlare、Flashのデコンパイラーだ。 デコンパイラーは名称のまま、逆コンパイルをするためのソフトウェアだ。構成する素材全てが取れるわけではなく、flrという拡張子でActionScript部分が抽出される。逆に素材が欲しい場合は、HugFlashを使おう。 ソースを見てみる事で、実際に行われている処理やサポートされている関数を知ることができる。実は明文化されていない裏APIがあった、なんて事があるかも知れない。尚、動作はWindows、Mac OSX、DOS、Linux、Solarisとなっている(GUI版のMac OSXではう
リバースエンジニアリング
はじめに 最初に断っておきますが、私はKrackerではありませんし、またリバースエンジニアリングについてさほど詳しいわけでもありません。そんな人が「リバースエンジニアリング」などと銘打って文章を書くこと自体がそもそもおかしいですが、今回は、私がリバースエンジニアリングについていろいろと調べた結果をテキストとしてまとめてみようということでこの文章を書き上げました。よって、この文章は私がここ1ヶ月くらいで学んだ過程を書き綴っています。ただ、まとめたといっても、デバッガの使い方といった初歩の部分から書いているわけではないので、少なくともアセンブリ言語を理解していることが前提となります。また場合によっては、WindowsやDLLの仕組み、そして暗号アルゴリズムに関してもある程度の知識が必要かもしれません。 実験を行った私の環境はWinXP、コンパイラはVC++.NET、デバッガはOllyDbgで
らばQ : ハッカーに憧れちゃう子供たちが知っておくべき有名ハッカー5人
ハッカーに憧れちゃう子供たちが知っておくべき有名ハッカー5人 先日、こんなニュースがありました。 上海の小学生、4割以上が「ハッカー崇拝」 中国語で「ハッカー」は黒客(ヘイクー)と言うのだと電脳コイルで言ってましたし、この記事でもやはり「黒いもの」、つまり犯罪者扱いですね。 一般的な認識でも「ハッカー」というと他人のコンピュータに侵入する人という意味で記憶されてるようです。 しかし、本物のハッカーたちの間では、そういう意味では使われてません。 さて、本物のハッカーはどういう意味で「ハック」や「ハッカー」という言葉を使うのでしょうか? そして本物のハッカーとはいったいどんな人たちなのでしょうか? ちょうど出しそびれていた本物のハッカー5人を紹介する記事がありましたので、それとあわせてご紹介します。 「ハッカー」とは、もちろん「ハック」する人のことです。さて、「ハック」とはなんでしょうか? こ
そろそろCSSハックの良し悪しについて考えてみる(書式編) | Blog hamashun.com
関連リンク そろそろCSSハックの良し悪しについて考えてみる(書式編) そろそろCSSハックの良し悪しについて考えてみる(管理編) おまけ付き Re:CSS の用途をわざわざ (X)HTML に限ることはない スターハックに端を発するアレコレ スターハックに端を発するアレコレ まとめ編 フルCSSでサイトを制作する際に、まだまだ避けては通れないのがCSSハックです。 巷には色んなハックが溢れていますが、今回は良いハックと悪いハックを『書式』をキーにして考えてみたいと思います。 なお、ハックはあくまで最終手段であり、使わないにこした事は無いという事を、事前に書いておきたいと思います。 また、一部CSSハックと呼ぶには語弊があるテクニックもありますが、ブラウザ実装の差異に対する技術、といった意味合いで、この記事ではハックで統一しています。 バリデータに通るか否か まず最低条件として、バリデータ
Googleによるマルウェア論文:Geekなぺーじ
「The Ghost In The Browser Analysis of Web-based Malware」というUsenixの論文がありました。 PDFがダウンロード可能なので、興味のある方は読んでみる事をお勧めします。 この論文は、HotBots 07というボットネットに関してのWorkshopで、他に発表されていた論文も面白そうでした(まだ他のは読んでいません)。 NATやファイアウォールの普及によって、最近ではワーム(Worm)の勢いが衰えてきて、マルウェア作者にとってはWebが活動の主体になりつつあるそうです。 この論文は、Google社の社員5人によって書かれています。 Googleのクローラが収集しているWebページリポジトリを利用して解析を行った論文です。 この論文では、ふるいにかけたURLをバーチャルマシン上のInternet Explorerに渡して実行状況をモニタ
ITmedia Biz.ID:あやしいサイトにご用心――3つの“素性確認”サービス
知らないサイトをブラウザでいきなり開くのは危険な行為だ。こうした場合、URLを入力するだけでサイトのドメイン情報のほか、評判や周辺情報といった“素性”を確認できるサービスを利用しよう。 ネット上で見つけたURL、メールアドレスの発信元、もしくはアクセスログで得られたサイトやドメインについて、実際にブラウザで開く前に情報を得たいことがある。ドメインに関する基本情報はWHOISを使えば確認できるが、あくまでもテキスト主体でサイトの概要しか知ることができず、ネット上での評判まで知るのは不可能だ。 最近になって、こうした場合に便利な、サイトの詳細情報や周辺情報を提供してくれるサービスが続々登場してきている。今回はその中から代表的なサービスを紹介しよう。 まず1つめは「aguse.net」だ。このサービスでは、WHOISで得られる基本的な運営者情報はもちろんのこと、サイトのスクリーンショットや、サー
自宅でブログサーバ立ち上げ
自宅でブログサーバ立ち上げ ブログサーバを自宅で立ち上げるためのさまざまな取り組みを記録しています。自宅のサーバには、Macintoshを採用しております。Macintosh のOSはUNIXで、インターフェースも洗練させており、Windowsのようにセキュリティ上の問題も少ないため、Macintoshを選択しました。 今まで、ばらばらに書いていたので、少しまとめてみました。 ただ、ある程度UNIXの知識のある方が前提となっております。また、詳しく書いていないところもありますが、これから徐々に仕上げていきたいと思います。 1.ネットワーク増強 外部からのアクセスが始まりますので、常時接続およびアップトラフィックに対応したネットワーク環境の構築を行います。 関連Category : ネットワーク増強 2.ドメインの取得 外部の方がアクセスするためのドメインを取得します。 関連Ent
公開Webサーバから機密情報を引き出す「Googleハッキング」の脅威と、その対策
【 ここから本文 】 TOP > News : セキュリティ > セキュリティ ソーシャルブックマークに登録 : 印刷用ページの表示 公開Webサーバから機密情報を引き出す「Googleハッキング」の脅威と、その対策 用心! 隠した“つもり”のファイルが情報漏洩の原因に (2005年12月12日) 企業や組織が公開したつもりのない情報が、「Google」に代表される強力なインターネット検索エンジンを用いて外部からアクセスされる危険性があることをご存知だろうか。このような手口は「Googleハッキング(Google Hacking)」あるいは「検索エンジン・ハッキング(Search Engine Hacking)」と呼ばれており、セキュリティ専門家の間では以前からその危険性が指摘されてきたが、そのリスクについて一般の認知度はあまり高くない。そこで本稿では、このGoogleハッキ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
脅威のカオスに立ち向かう - ZDNET Japan
world wide web 今を知るハッキング(裏)