脆弱性体験学習ツール AppGoat | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構脆弱性体験学習ツール AppGoat 脆弱性体験学習ツール AppGoatとは 脆弱性体験学習ツール「AppGoat」は、脆弱性の概要や対策方法等の脆弱性に関する基礎的な知識を実習形式で体系的に学べるツールです。利用者は、学習テーマ毎に用意された演習問題に対して、埋め込まれた脆弱性の発見、プログラミング上の問題点の把握、対策手法の学習を対話的に実施できます。 ウェブアプリケーションの脆弱性対策に必要なスキルを習得したい開発者やウェブサイトの管理者におすすめです。
「Webアプリの脆弱性対策は簡単です」
「Webアプリケーションの脆弱性対策は簡単です」。 セキュリティ関連の取材をするようになって10年以上になるが、セキュリティ対策が「簡単」だと聞いたのは恐らく初めてである。取材の相手は、TISの早矢仕善弘氏(技術本部 セキュアワン室 室長)。ソースコードを対象にした脆弱性チェックツールとして広く利用されている米Fortify Softwareに、同社ソフトの検証を依頼されたこともあるというセキュリティの専門家である。 早矢仕氏によるとWebアプリケーションの脆弱性は、たった四つの原則を守れば防げるという。SQLインジェクションやクロスサイトスクリプティング(XSS)など著名なものはもちろん、最近になって発見されている数多くの脆弱性が、いずれかの原則の対象になる。四つの原則を紹介しよう。 (1)ユーザー入力を精査する Webページのフォームなどに入力された文字列は、きちんとチェックしなければ
[2010/04/06]「公金20億円!名門大学撤退の誤算」
兵庫県が誘致したアメリカ名門大学の日本校が先月、閉校しました。 開校からわずか5年、これまでに巨額の公金が投入されてきましたが、一体なぜ、こうした事態になったのでしょうか。 先月23日、兵庫県公館である大学の卒業式が行われた。 アカデミックドレスと呼ばれる「ガウン」に、「角帽」。 アメリカンスタイルの式典で、井戸知事自身が一人一人に記念品を手渡していく。 ところがよくみると、卒業生はわずか8人。 実はこの大学、思うように学生が集まらず、この日は卒業式とともに事実上の閉校式でもあったのだ。 「芦屋ビーチにバーベキュー行ったこと、私の車がガス欠したあの日・・・残念なことに私たちの思い出がつまったキャンパスは消えてしまいます」 「(卒業生全員が角帽を投げ)I LOVE YOU!」 華々しい開校から5年で消えることとなったこの大学とは・・・。 アメリカのカーネギーメロン大学日本校。 カーネギーメ
ScanNetSecurity - SANS InfoSec Report 第6回 「世界規模のデータソースの分析によって見えたもの−SANS The Top Cyber Security Risks−」
SANS InfoSec Report 第6回 「世界規模のデータソースの分析によって見えたもの−SANS The Top Cyber Security Risks−」 2009年9月、SANSからここ最近のサイバーセキュリティにおけるリスクをまとめたレポート「The Top Cyber Security Risks」が公開された。これは、2000年から毎年発表されてきた「The 20 Most Critical Internet Security Vulnerabilities(通称:トップ20リスト)」を発展させたものであるといえる。 The Top Cyber Security Risks http://www.sans.org/top-cyber-security-risks/ このレポートの最大の特長は、6,000を超える民間企業と政府機関を保護しているTippingPoi
脆弱Webアプリのテスト環境 — (n)
life is penetration. geeks cheer. geeks be ambitious.ちょっと調べてみるとよくまとまっているサイトを見かけたので拝借して、自分用にメモ。 こうして見ると結構あるものですね。まだまだ、世の中では「SQLインジェクションの注意喚起」という言葉をちょくちょく目にします。Web系の攻撃は、比較的手法が公開されている印象を受けますので、守る立場の方もお好みのものをセットアップして、調べながら手元で試してみてはいかがでしょうか。 守るだけではなく攻めることでまた、違った視点を持てることができ、守る力に磨きがかかるかもしれませんね。 ・Moth サイト: http://www.bonsai-sec.com/en/research/moth.php 環境: Linux VMWare image インストール: VM上で再生 ・Mutilli
トレンドマイクロ、4つ実話をムービーで公開「サイバー犯罪者たちの告白」 | パソコン | マイコミジャーナル
トレンドマイクロは13日、同社Webサイト上において、セキュリティに関する4つの実話を基に作成されたショートムービーを公開。映像を通じて、サイバー犯罪手口を公開することで、不正プログラムによる感染の抑止を呼びかける。あわせて、Webサイト上にて不正プログラム感染被害体験も募集している。 「サイバー犯罪者たちの告白」では、「セキュリティソフト詐欺」/「豚インフルエンザ情報でパソコン乗っ取り」/「メモリーカードで無差別テロ」/「犯罪地獄に変わったオークションサイト」の4本のショートムービーが公開されており、実際にあった事例を基に構成されたムービーとなっている。ショートムービーでは、路上駐車の車に駐車違反のシールを貼りWebへと誘導してウイルスに感染する手口、家電量販店のデジタルプリント注文機を利用して次々と不正プログラムに感染させる手口、偽オークションサイトでIDを搾取し、架空出品や代金をだま
TKK - TML - Studies - T-110.6220
T-110.6220 Special Course in Communications Security Spring 2008: Malware Analysis and Antivirus Technologies (5 ECTS) P V Opinnot > T-110.6220 > index.html Announcements 29.4.2008 Please give us course feedback: Finnish form, English form or Swedish form. 18.4.2008 Extra homework is published. 10.4.2008 Instructions for the course project are published. Check also material from the last lecture.
:: moth - Bonsai Information Security ::
moth Moth is a VMware image with a set of vulnerable Web Applications and scripts, that you may use for: Testing Web Application Security Scanners Testing Static Code Analysis tools (SCA) Giving an introductory course to Web Application Security The motivation for creating this tool came after reading "anantasec-report.pdf" which is included in the release file which you are free to download. The
JPCERT Coordination Centerソースコード解析ツールを活用した CERT セキュアコーディングルールの有効性評価報告書
こちらはご意見・ご感想用のフォームです。各社製品については、各社へお問い合わせください。 ※本フォームにいただいたコメントへの返信はできません。 返信をご希望の方は「お問合せ」 をご利用ください。
アドビ製品のセキュリティ問題に苦しめられる企業
AdobeはAdobe Reader 9.1およびAcrobat 9.1に存在する、緊急度の高いゼロデイ脆弱性を修正するパッチのリリース日を、米国時間5月12日に設定している。 Adobeの公式なセキュリティ勧告では、この脆弱性の深刻さを認めており、ユーザーに対してコード実行攻撃を避けるための一時的な対策として、JavaScriptを無効にすることを勧めるアドバイスを繰り返している。しかし、このAdobeの緩和策は実現が難しく、さらに悪いことに、企業環境では役に立たないという愚痴が顧客から聞こえてきている。 (参照:Adobe Readerの新たなゼロデイ脆弱性に対する攻撃コードが公開される) ニューヨークに本社を置く電子商取引企業のセキュリティ担当役員であるErik Cabetas氏は、歯に衣着せず次のように述べている。 これはうまくいかない。これでは、JavaScriptは無効にできな
IT人材「量は十分、質が足りない」――IPA調査
情報処理推進機構(IPA)は2月26日、「IT人材市場動向調査 調査報告概要版No.1」を発表した。IPAはこれを「IT人材の育成施策検討に向けた基礎情報を収集するための調査」と位置付けており、今後のIT人材育成施策の立案などに生かす考え。今回は第1回として「【IT企業向け】IT人材動向調査」と「【ユーザー企業向け】IT人材動向調査」を発表した。 調査は「IT企業向け」がITベンダ3000社(有効回答数549社)、「ユーザー企業向け」が東証1部、東証2部、マザーズ、ジャスダックなどへの上場企業3000社(有効回答数335社)を対象に行った。調査期間はともに2008年9月18日から10月3日まで。IPA IT人材育成本部 ITスキル標準センター長の丹羽雅春氏は「リーマン・ショックの直後。まだ現在ほど不況が深刻になってはいないが、兆候が見え始めた時期の調査」と補足した。 IT企業の人材は「量か
住商情報システム,Webサイトのぜい弱性が自分で診断できるトレーニングを開始
写真●住商情報システムIT基盤ソリューション事業部 基盤インテグレーション第3部セュリティソリューション第2チーム 主任の赤澤卓真氏(右)とセキュリティ技術チーム エンジニアの長尾亮氏(左) 住商情報システムは2009年2月5日,「Webアプリケーション脆弱性診断トレーニング・サービス」を開始した。このサービスは,Webサイトを運用する会社に,Webサイトにぜい弱性が存在しないかどうかを自分で診断するノウハウを教えるもの。これまで同社が販売するぜい弱性診断ツールを購入した顧客に対して個別に実施していたトレーニングを,今回から正式なメニューとしてサービスを開始した。 「Webアプリケーション脆弱性診断トレーニング・サービス」を提供する背景について,住商情報システムIT基盤ソリューション事業部 基盤インテグレーション第3部 セキュリティソリューション第2チーム 主任の赤澤卓真氏(写真右)は「こ
JNSA:情報セキュリティ理解度チェック
組織の社員・職員がそれぞれパソコンを1台使用し、メールを使っての連絡やインターネットを利用して情報を受発信することが業務の重要な手段となってきています。 そのような状況の中では、社員・職員1人ひとりが適切な情報セキュリティの知識を身につけて安全な利用を図ることは大変重要ですが、それとともに、組織の管理者が自組織の職員の情報セキュリティの理解度がどの程度であるかを把握することが大事です。理解度レベルに合わせて適切な教育を行い、組織全体の情報セキュリティを確保することは、管理者の重要な職責なのです。 この「情報セキュリティ理解度チェック」サイトでは、組織の管理者の方が自組織の社員・職員をユーザ登録し、受講させることで、1人ひとりの受講結果を知ることができます。また、自組織の全体としての情報セキュリティ知識レベルを確認できるだけでなく、さらに同業種の中でのランキングを知ることもでき、自組織の情報
講師・実行委員|セキュリティ&プログラミングキャンプ2008
講師は、実行委員会により選ばれたセキュリティおよびプログラミングの世界で活躍する最先端の有識者が担当します。また、ITの分野で活躍されている有識者・法曹関係者の方々による特別講義も予定しております。 なお、特別講師については順次紹介させていただきます。 講師から一言 セキュリティ&プログラミングキャンプ2008 セキュリティコース講師(主査) 園田 道夫(サイバー大学) 情報セキュリティの分野は、間口が広く奥が深い、と言われています。そして残念ながらその間口も深さも満たせていないのが現状です。 セキュリティキャンプで求めているのは、その間口や深さを埋めていただく人材であることは確かなのですが、それ以上に、いっそのことその間口を狭くしてしまう、あるいは深さを浅くしてしまうような、思い切った発想、独自のアイディア、技術、スキル、そういうものを編み出していただけるような人材です。 ・・・と書く
IPA、セキュリティ事件を体験できるソフト「安全なウェブサイト運営入門」 | パソコン | マイコミジャーナル
IPA(独立行政法人情報処理推進機構)は、Webサイトの脆弱性によってもたらされる被害をもとに作成された、Webサイトの運営上の事件を体験できるソフトウェア「安全なウェブサイト運営入門−7つの事件を体験しウェブサイトを守り抜け−」を発表した。IPAのWebサイトから、無償にてダウンロードできる。 SQLインジェクション攻撃の急激な増加 この背景には、2008年4月以来、SQLインジェクションの脆弱性を悪用した攻撃が、急激に増加している。2006年まではほとんどなかったものが、4月には約5万件、5月には約16万件の攻撃数を確認している(株式会社ラックの調査)。SQLインジェクションによる被害として想定されるのは、個人情報の漏洩、ウイルス配布サイトとして悪用される可能性などがある。 IPAでは、これまでも注意を喚起してきたが、攻撃数の急激な増加に対し、セキュリティ対策が十二分に行われにくい中小
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SANS JAPAN
ウイルス対策やりたがらない知人、どうすれば……IPAの相談事例 
新人取締役の愚痴だらけ?! : 舞台終了(現場から)
「情報セキュリティプロフェッショナル教科書」はセキュリティを学び始めるのに最適な一冊 - うさぎ文学日記
http://www1.iwate-ed.jp/kakusitu/joho/material/joho_site/index.html