Fuzzing » Fuzzing Software
Brain dumps on fuzzing, the book and security in general. From the Book (alphabetical) FileFuzz ifuzz In Memory Fuzz PoC notSPIKEfile SPIKEfile Sulley Fuzzing Framework (new version coming out 11/8/2007) Manual EpyDocs Presentation slides from release at BlackHat 2007 WebFuzz ProtoFuzz Others (alphabetical) antiparser Written in Python, simple and limited fuzzing framework. Autodafe Can be percei
「SQLインジェクション・ワーム」出現、Webサイトを自動的に改ざん
セキュリティ組織の米サンズ・インスティチュートは2008年5月6日、「SQLインジェクション」と呼ばれる手法を用いて、脆弱(ぜいじゃく)なWebサイトを次々と改ざんする悪質プログラム(ワーム、広義のウイルス)が確認されたとして注意を呼びかけた。 今回確認されたワームは、インターネット上に存在する脆弱なWebサイトを自動的に探し出して、SQLインジェクション攻撃を仕掛ける。攻撃に“成功”すると、Webページを改ざんして、別のサイトに置かれたウイルスをダウンロードさせるような文字列を仕込む。 ウイルスには、RealPlayerといったソフトウエアの脆弱性を突く仕掛けが施されているので、脆弱性のあるパソコンでは、改ざんされたページにアクセスするだけで、ウイルスが勝手にダウンロードされて実行されてしまう。 サンズによれば、ワームが仕込む文字列で検索したところ、およそ4000件が表示されたという。こ
高木浩光@自宅の日記 - 公開鍵暗号方式の誤り解説の氾濫をそろそろどげんかせんと
■ 公開鍵暗号方式の誤り解説の氾濫をそろそろどげんかせんと 「コンピュータセキュリティを基礎から」というと、暗号の解説、特に共通鍵暗号と公開鍵暗号の違いからなどといった解説をよく目にする。昔は専門の方によって注意深く書かれていたのに対し、ここ何年かはひどい状況になっている。先月、宮崎で開かれたSCIS 2008の席でも暗号研究者の方々との雑談でそういう話になった。私は暗号は専門でないのでその話題は迂闊に書けないできたが、このところの巷の誤り解説の氾濫ぶりは目に余るものがある。 最もひどく蔓延っていてしばらく消えそうにない間違い解説の典型例は次だ。 「公開鍵で暗号化したものを秘密鍵で復号するのと同様に、秘密鍵で暗号化したものを公開鍵で復号できるようになっている。」 事例1: 日本ベリサイン株式会社による公開鍵暗号方式の解説 このような共通鍵暗号方式の問題点を解決する暗号方式が、公開鍵暗号方式
机が無線LANのアンテナに。イトーキの「LANシート」
机にシート状の無線LANアンテナを敷き、電波が届く領域を制限した「LANシート」がイトーキから登場。無線LANを使いながら、セキュリティ対策や位置特定などが可能になる。 フリーアドレスのオフィスなら無線LANを導入したい。でも、隣のビルまで電波が届いてしまう無線LANはセキュリティ的に心配。さてどうするか? こんな課題に対応するLANシステムをイトーキが開発。「SECURITY SHOW 2008」の同社ブースで展示している。名称は「LANシート」。通常のアンテナではなく、机の上に置いたシート状のアンテナを使うことで、机上に置いたPCだけが無線LANを使えるというものだ。 「シートから1メートルの範囲だけに電波が届く。セキュリティレベルを上げられるだけでなく、誰がどの机のLANにつなげているのか、位置を特定できるのが特徴」だとイトーキ。 シート型アンテナには、出力を弱める機構を持った専用の
富士通、AES-256対応の高速HDD発売へ
富士通は4月21日、AES 256ビットの暗号化方式に対応した2.5型320GBハードディスク「MHZ2 CJ」シリーズを発表した。5月末からOEMで各社に提供する。価格は個別見積もり。 同社が暗号化対応ハードディスクを発売するのはこれが初めて。これまで他社製品ではトリプルDESやAES 128ビット対応のハードディスクはあったが「そろそろ256ビットが欲しいという業界の声に応えた」(ストレージプロダクト事業本部 磁気ディスク事業部 事業部長代理 柳茂知氏)という。 シリアルATA 3.0Gbps対応、7200回転/分の高速タイプ。高速なAES処理エンジンをドライブ上に自社開発チップで搭載することで暗号処理なしの場合と変わらない高速さを実現したという。ソフトウェアを使ってCPUで暗号処理した場合と比較すると、「総合テストのようなランダムアクセスで1.8倍、シーケルンシャルアクセスで5倍程度
SQL Server - niwakaのブログ
大変遅くなりましたが、Jeff JonesさんのSQL Serverに関するブログ記事の翻訳です。 Microsoft Security - Home 先週、あるウェブニュースが気になった。それによると、SQLサーバは「去年、商用データベースのうちもっとも脆弱性があった。」という。そこで著者は事実確認を行うことにし、SQLの脆弱性について本当の(本当に良い)ことや、商用データベースで去年もっとも脆弱性があったのは何かを文書化する価値があると考えた。 ・Microsoftのセキュリティ掲示板の検索ツールを使用したところ、公開後2年半経つSQL Server 2005についての掲載が、サポート期間を通して1件もない。 →SecuniaのSQL Server 2005に関するページでも、この製品のアドバイザリがサポート期間を通して1件もない。・Microsoftのセキュリティ掲示板の検索ツールを
Tomcatを安全にするセキュリティマネージャとは? (1/3) - @IT
Tomcatを安全にするセキュリティマネージャとは?:Tomcatはどこまで“安全”にできるのか?(6)(1/3 ページ) 本連載「Tomcatはどこまで“安全”にできるのか?」では、いままでTomcat 6の新機能と、できるだけセキュアなWebアプリケーションサーバをTomcatで構築するためのヒントをいろいろと紹介してきました。 今回は、Tomcatセキュリティ連載の最後として、「セキュリティマネージャ」を利用したTomcatでのセキュリティの確保について解説していきたいと思います。 Tomcatの安全性を高めるセキュリティマネージャとは? 「セキュリティマネージャ」(java.lang.SecurityManagerクラスが使われる)とは、信頼されていないコードを実行することでローカルファイルシステム上にあるファイルへとアクセスしたり、Javaアプレットのダウンロード元のホスト以外と
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.technobahn.com/news/2008/200803251748.html