セキュリティ専門家が約120項目の回答結果と独自スコアリング結果を提供。経済産業省の監査サービス適合基準の認定を取得済み
Assured(アシュアード)|クラウドサービスのリスク評価
セキュリティ専門家が約120項目の回答結果と独自スコアリング結果を提供。経済産業省の監査サービス適合基準の認定を取得済み
SECURITY ACTION セキュリティ対策自己宣言
IT導入補助金とは IT導入補助金とは、中小企業・小規模事業者等のみなさまが自社の課題やニーズに合ったITツール(ソフトウエア、サービス等)を導入する経費の一部を補助することで、みなさまの業務効率化・売上アップをサポートするものです。 ITツールの導入時には、セキュリティ面を考慮することも重要です。また導入後も、情報セキュリティ対策の継続や向上をめざす取組みが重要です。IT導入補助金を申請するにあたってはSECURITY ACTIONを宣言することが必須要件となりました。 IT導入補助金の詳細は以下よりご確認ください。 ☞IT導入補助金(外部リンク) SECURITY ACTIONとは 中小企業自らが情報セキュリティ対策に取り組むことを自己宣言する制度です。 「中小企業の情報セキュリティ対策ガイドライン」の実践をベースに2段階の取り組み目標を用意しています。 1段階目「一つ星」 「情報セキ
nginx向けのWebアプリケーションファイアウォールを試す | さくらのナレッジ
ここで「ゾーン」はリクエスト中で検査対象となった部分を示しており、「ARGS」ならURLに与えられた引数(GETリクエストの引数)を示している(詳しいドキュメント)。また、この例ではidが1000、cscore0がSQL、score0が8となっていることから、IDが「1000」という検出ルールによって「SQL」というスコアが8に設定され、それによってブロックが行われていることが分かる。 NAXSIに対しWAF Testing Frameworkによるテストを実行する さて、続いてはデフォルト設定のNAXSIに対しWAF Testing Frameworkによるテストを実行してみよう。手順としてはnginx+ModSecuriy構成の場合とほぼ同様で、nginx.confにリバースプロクシ設定(「proxy_pass http://localhost:8080/;」)を追加してnginx経由
jpcert securecoding
プログラム開発業務に携わる全ての方々に向けて、脆弱性のない、安全なソフトウエア開発のためのセミナー、コーディングのルールやそのマテリアル、書籍に関する情報を紹介しています。 セミナー Android セキュアコーディングセミナー資料(英語版) Java セキュアコーディングセミナー資料 C/C++ セキュアコーディングセミナー資料 セキュアコーディングスタンダード CERT C セキュアコーディングスタンダード Java セキュアコーディングスタンダード CERT/Oracle 版 書籍 C/C++ セキュアコーディング C/C++ セキュアコーディング 第2版 CERT Cセキュアコーディングスタンダード Java セキュアコーディングスタンダード CERT/Oracle版 セキュアなソフトウエア開発を支援する資料 クロスサイトリクエストフォージェリ(CSRF)とその対策 Java アプ
セキュリティを一切考慮しないMMORPGを開発するとどうなるか
どうもご無沙汰しております。本Blogが私の年1回の生存報告、兼、アドベントカレンダー用と相成って久しいですが、今年も一発恒例行事として筆を取らせていただきたいと思います。 今年、私が話題に取り上げますのは、とあるゲームです。Amazon Game Studiosという会社が開発・リリースしました、New WorldというMMORPGについてご紹介させていただきたいのです。ゲームの話題には一切興味がない読者諸君も、どうか少し我慢して、私に騙されたと思って最後まで話を聞いていただけませんでしょうか。そもそも、あのAmazonが開発したMMORPGというのですから、どれほどゲームに興味がなくても、技術に興味のある方でしたら、少しは興味深く感じられるのではないでしょうか? けして後悔はさせませんよ。悪い方向にね。 さて、ゲームに何ら興味知識のない方にもわかるように少し解説を入れさせていただきます
LANケーブルをニッパーで切断し5秒でネットワークへ侵入・盗聴できるか実験してみました
サイバーセキュリティにおいてLANケーブル(有線LAN)からの侵入について考えたことがあるでしょうか?本稿では、LANケーブルをニッパーで切断してネットワークへ侵入・盗聴した実験結果を紹介します。切断してから何秒で侵入・盗聴できたのでしょうか? 本記事は、ケーブルを切断してネットワークへ侵入・盗聴されるリスクがある事を知っていただく事を目的としています。 ご自身の環境以外では試さないようお願いします。 なぜLANケーブルからの侵入? 技術部の安井です。長年制御システムを開発してきた経験から制御システムセキュリティ向上に取り組んでいます。制御システムの業界では、近年外部ネットワークを経由しての侵入や内部に持ち込まれたUSBメモリからの侵入が注目されています。一方で、なぜかネットワークを構成する大きな要素であるLANケーブルや光ケーブルからの侵入への注目度は低いようです。制御システムに関わらず
勉強会の活動休止のお知らせ – すみだセキュリティ勉強会
主催者のozuma5119です。 既に自分のブログ(兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました(その1))で先に書いてしまったのですが、すみだセキュリティ勉強会の開催はしばらく保留とし、しばらく活動休止することにしました。理由は、昨今の警察の動きがあまりにも不穏で、単なるセキュリティ勉強会ですら、脆弱性の解説や攻撃コードの研究発表を理由に、逮捕事案にしかねないためです。 私自身は、勉強会の名前通りに東京都墨田区在住のため、警視庁管轄であり実際のところはほとんど心配は無いと思っています。しかし、発表者の方が近隣の神奈川県・埼玉県・千葉県から来られる場合……その発表を元に、各県警により不正指令電磁的記録に関する罪で発表者が逮捕される可能性があります。それどころか、例えば「勉強会に行って、こんなセキュリティの話を聞いてきた」というブログ記事を書いた参加者の皆さんを、共犯者
ワンタイム・パスワード
ポイント ●ワンタイム・パスワードとは,一度しか使えないパスワード(使い捨てパスワード)のこと。これを実装するための仕組みを意味する場合もある。 ●事前に認証する側と,される側でハードウエアや関数を共有しておく必要がある。 固定式のパスワードだと,セキュリティ向上のために定期的に変更したり,類推されにくい文字列を使用したりする必要がありました。逆に考えれば,「パスワードを毎回異なるものにして,意味のない文字列を使う」ことができれば理想的です。これを仕組みとして実装したものが,ワンタイム・パスワードです。 ワンタイム・パスワードの実装は製品によってまちまちです。しかも,見たり使ったりしても内部の仕組みはわかりません。そこで,今回はワンタイム・パスワードを実現するために利用されている代表的な技術を2つ紹介します。どちらも「毎回異なるパスワードを利用する」と仕組みを実現するために,事前に認証する
高木浩光@自宅の日記 - 情報経済課は恥を知って解散せよ(パーソナルデータ保護法制の行方 その12)
■ 情報経済課は恥を知って解散せよ(パーソナルデータ保護法制の行方 その12) また同じ過ちが繰り返された。いったい何度繰り返せば学習するのか。 経済産業省委託事業 「経済産業分野における個人情報保護ガイドライン」 説明会 参加者募集開始! http://t.co/JRFplpoiWP #プレスリリース — (株)共同通信社 (@Kyodonews_KK) 2014, 12月 2 このプレスリリースは誰が流したものか。以下の画面のように冒頭に「経済産業省」と記載があり、これを見た人は�経済産業省が流したものだと思うだろう。*1 経済産業省委託事業 「経済産業分野における個人情報保護ガイドライン」 説明会 参加者募集開始!, 株式会社共同通信社 申込先のリンクが http://kojinjohohogo-guideline.jp と書かれている。 やるのはいいけど、.go .jpじゃないわ、
公開用プログラマ技術ノート | OpenFileDialogを表示するときにフリーズする不具合の解決
概要 いつからかWindows 7 64bit環境でVisualBasic.NETで開発をしているとWindows7がフリーズするようになりました。 主にデバッグ開始時、実行中ですが、ソースコードをスクロールしているだけでもフリーズすることがありました。 現象は20回に1回程度なので放置していましたが、OpenFileDialog.ShowDialog時に6回に1回程の頻度でフリーズが発生することが発覚し原因の調査に乗り出しました。 結果「C:\Windows\System32\drivers\cymon.sys」を削除すると現象が発生しないことが分かりました。 これはBookLive!Readerをインストールしたときに追加されるドライバで、BookLive!Readerのアンインストールと同時に削除されます。 そのためBookLive!Readerをアンインストールすることで現象を解決
VisualStudioでOpenFileDialogを使うとデータが消える?
2014/02/01追記 http://www.cyphertec.co.jp/news/cymon_revision.html 暫定的なものでなく、ちゃんと修正されたプログラムが配信されました。 DMM用は後日ソフトのアップデートがあるとのこと。 2014/01/17追記 http://www.cyphertec.co.jp/news/cymon_issue.html 改良されるのは望み薄…と書いてたけど、ここ数日Twitter上で話題になったようで、メーカー側から調査結果と、暫定的な対処方法が出ています。 ただあくまで暫定的なもので、一度電子書籍を読んだら再起動しないと同じ事が起きるということです。 (電子書籍リーダーはこの記事書いた時に消したきりなので、自分では試してないです) 2014/01/17修正 メーカーによると問題のファイル名がcymon.dllじゃなくcymon.sysだ
HTTPSを使ってもCookieの改変は防げないことを実験で試してみた
寺田さんのブログエントリ「他人のCookieを操作する」には、通信路上の攻撃者がいる場合は、SSLを使っても、Cookieの盗聴を防ぐことはできるが、Cookieの改変を防ぐことはできないと指摘されています。いかにも寺田さんらしい簡にして要を得たエントリで、これに付け加えることはあまりないのですが、残念ながらまだ読んでいない人が多そうだと言うことと、より広い読者に向けて具体的に説明した方がよいだろうと考えました。 そこで、通信路上に攻撃者がいる典型例として、公衆無線LANの偽AP(アクセスポイント)があるケースを題材として、「HTTPSを使ってもCookieの改変は防げない」ことを説明します(Secure属性使うと盗聴は防げますが、改変は防げません)。長いエントリなので結論を先に書いておきます。 Secure属性がないCookieはHTTPSでも盗聴できる Cookieの改変についてはSe
Masato Kinugawa Security Blog: たぶんXSSが理由でインターネットがとまった
昔自分が利用者だったサイトのセキュリティ問題(XSS)をいくつか報告していたのですが、おそらくそのリクエストを理由にインターネットが使えなくなりました。プロバイダに接続を止められたのです。 そのサイトで問題をみつけたとき、サービス提供者側の反応を示す兆候がありました。 問題を発見後、しばらくしてアクセスしようとすると、アクセスを拒否されたからです。 サービス提供者には問題を報告し、アクセス拒否についても、一応、今報告してる通りこれは攻撃ではないので誤解なきようよろしくとメール連絡したところ、問題は修正されました。 これで真意は伝わり、アクセスと関連付けられ、アクセス拒否に対する誤解も解決しただろうと思ったのですが、その後急にインターネットが使えない事態にまでなるとはだれが予想できたでしょうか…。(今は携帯の回線を使っています) プロバイダから書面が届き、書面には問題の報告時とほぼ同じ日付に
Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる
twitterなどでTポイントツールバーの利用規約が話題になっています。このエントリでは、Tポイントツールバーを実際に導入して気づいた点を報告します。結論として、当該ツールバーを導入すると、利用者のアクセス履歴(SSL含む)が平文で送信され、盗聴可能な状態になります。 追記(2012/08/10 20:10) たくさんの方に読んでいただき、ありがとうございます。一部に誤解があるようですが、ツールバーが送信している内容はURLだけで、Cookieやレスポンスまでも送信しているわけではありません。URLを送信するだけでも、以下に示す危険性があるということです。 追記終わり 追記(2012/08/13 23:50) ポイントツールバーにバージョンアップがあり、WEB閲覧履歴の送信がSSL通信に変更されました。従って、WEB閲覧履歴が盗聴可能な状況は回避されました。本日22:50頃確認しました。
@mitsuhiko寄稿「Python Webアプリケーション開発でのありがちなミス」 - YAMAGUCHI::weblog
はじめに みなさん、本日はクリスマスですね。Python Webフレームワークアドベントカレンダー2010最終日ですね。最終日はスペシャルゲストということで、pocooの中心メンバである@mitsuhikoが寄稿してくださいました。 pocooはWerkzeug、Jinja2、Flask、Sphinxといった多くの有名なPythonライブラリを提供しているグループで、その中で@mitsuhikoことArmin Ronacherさんはメインコミッタとして活動されています。*1Arminさんは世界指折りのPythonハッカーですが、なんと年齢は21歳!そしてイケメン!ぜひみなさんもArminさんの活動をWatchしてみてください! 寺田さん(@terapyon)からご指名いただいたので、拙訳ながらArminさんの記事の日本語訳をここにご紹介いたします。 概要 「Python Webアプリケーシ
ヤマト運輸の対応が素晴らしかった
クロネコヤマトモバイルサイトで情報流出があり読売新聞で取り上げたられた件に関し、早速ヤマト運輸で対応が取られ、発表がありました。 携帯版「クロネコメンバーズのWebサービス」クイックログイン機能の脆弱性への対応について|ヤマト運輸 この対応の素晴らしさは、タイトルでわかります。「脆弱性への対応」と書かれていて、ヤマト運輸のシステム側に不具合があったことを自ら認めて発表しています。 自らのミスを被害者に見せかける「プロの脆弱性対策」を使うのであれば、ここは「スマートフォンのアプリを利用したなりすましによる不正ログインについて」などと発表してもおかしくありません。 今回の件は読売新聞でも「iPhoneで人の情報丸見え…閲覧ソフト原因」と報道されているわけで、閲覧ソフトに責任転嫁するのは簡単な状況でした。それでもヤマト運輸は自らシステムの「脆弱性」だと認め、どういう状況で発生したのかまで発表しま
もじゃもじゃVIP、略してもっぷ 隣の部屋のクソガキが無線LANはいってくるんだが・・・
隣の部屋のクソガキが無線LANはいってくるんだが・・・ 1 名前:以下、名無しにかわりましてVIPがお送りします:2009/09/20(日) 03:25:39.83 ID:QYndHUdN0電波ジャッカー死ね('A`) 勝手にPSPやらDSやら繋げんな 入った理由が「WEPだったし俺の家有線ケーブルしかない」じゃねーよ 何がaircrackで余裕だっただこのスクリプトキディが MACアドレスで接続弾くこと出来る? 3 名前:以下、名無しにかわりましてVIPがお送りします:2009/09/20(日) 03:27:05.65 ID:BaY7o6x6Oよく分からないけど 暗号化しても使われてるなら通報しろ 4 名前:以下、名無しにかわりましてVIPがお送りします:2009/09/20(日) 03:27:20.03 ID:t3zBYysZ0友達ができてよかったね 6 名前:以下、名無しにかわりま
.htaccess ファイルを簡単作成「.htaccess Editor」
リダイレクト Fromにサイトパスを入力、ToにURLを入力 301 Moved Permanently 恒久的に移動 From: To: From: To: From: To: 302 Moved Temporarily 一時的に移動 From: To: From: To: From: To:
インターネット側からiPhone上のソケットに接続できました « ku
実は私、NokiaがNokia端末上で動くMobile Web Serverを出した時にセットでついてたMWS:Rationale - OpenSourceに今までのウェブサーバなんか全く全然インタラクティブじゃない、インタラクティブっていうのはこういうのを言うんだ!と書かれているのを読んで以来、ケータイウェブサーバウォッチャーです。 今日、帰宅途中に @shachi @cqa02303 photoアルバムじゃなくて、ftpやhtmlサーバを内臓したカメラアプリっていいんじゃないかと思うですよ Twitter / fladdict: @shachi @cqa02303 photoアルバ … というのを読んで、そういえば今すぐ日本の携帯で動かせるウェブサーバ CeHttp - bits and bytesでためした限りはSoftbankだと外からも繋げられたから、もしかしておなじSonft
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
socket.error:(13,'Permission deied')