このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。 ・名称…PwDumpシリーズ ・分野…ダンピング ・配布制限…GPL ・商用版の有無…無 ・類似ツール… ・DL URL…http://swamp.foofus.net/fizzgig/pwdump/ ・対応OS…Windows系OS (1) 基本項目と概要 Windows内に格納されているハッシュ化されたパスワード(以下ハッシュ値)を管理者権限を用いて取得するツールである。取得できたパスワードはハッシュ化されているので当然そのままでは使用することはできない。だが、そのハッシュ値をクラッキング(解析)するツールも存在する。そのツールに関しては別の機会に紹介する。 今回、名称に「シリーズ」と付けたのは、このツールは様々な作者の手で
HASHコンサルティングの徳丸浩氏は、前職の京セラコミュニケーションシステム(KCCS)では80名ほどの部下を抱える事業本部の副本部長まで務めながら、技術に携わり続ける道を選んで2008年4月に独立を果たした。そんな徳丸氏に、現在のWebアプリケーションが抱えるセキュリティ問題の解決方法と、独立についての話を編集部が聞いた。 --- ■Webアプリケーションという分野への貢献が独立の目的 私が設立したHASHコンサルティングの主な業務は、安全なWebサイト構築に関わるコンサルティングや教育、Webアプリケーションの脆弱性診断などの提供です。また、Webアプリケーションという分野への貢献と、家族との時間を大切にするということも独立した目的の1つです。 独立のきっかけの1つは、たまたま参加したセキュリティの勉強会にセキュリティの分野で独立して仕事をされてる方々がいて刺激を受けた
●PCIDSSとは? PCIDSSは、Payment Card Industry Security Standardsの略称で、国際カードブランド5社が共同で策定した、クレジットカード業界のセキュリティ標準である。この基準と、それを取り巻くフレームワークは、これも国際カードブランド5社が共同で設立した、PCISSC(Payment Card Industry Security Standards Council)によって運用、管理されている。ISMSやQMS、ITIL、もしくは業界に特化した様々な基準やマネジメントシステムが存在するが、その中でもPCIDSSはより実装に近い部分について、具体的に書かれていることが特徴である。 Payment Card Industry Security Standards Council https://www.pcisecuritystand
●WAFってなに? WAFとは、Web Application Firewallの略称である。 Webアプリの普及と高機能化に伴って、それらをターゲットとする攻撃は年々増加の傾向にあるが、従来型のネットワークファイアウォールでは、サービスを行っていないポートへの外部からの接続をブロックするといった、低いレベルでの対策しか行えない。 Webアプリの脆弱性を狙った攻撃を正確に検知し防御するためには、アプリケーション層における通信内容を理解し、その妥当性を判断できる仕組みが必要なのである。 また、クレジットカード情報取り扱いのセキュリティ標準であるPCIDSSの要件6.6にも、WAFの設置もしくはアプリケーションのコードレビューの実施が明記されており、2008年7月から必須要件となるため、今後のWebアプリのセキュリティを語る上で欠かせない存在になりつつある。 ●最近の攻撃傾
スパムメール対策のトップ企業が、WAFベンダを買収した理由 〜バラクーダ、WAFやメールアーカイバを相次ぎ発表 国内で販売されている電子メールセキュリティ・アプライアンス市場でシェアNo.1(2006年 富士キメラ総研調べ)を獲得したバラクーダネットワークスがロードバランサーを自社商品群のひとつに加えたことは先日報じたとおりだが(下記URL参照)、今回それに加え、WAFやメールアーカイブ製品を相次いでリリースしている。 ●バラクーダ、超低価格の負荷分散アプライアンスを発売 https://www.netsecurity.ne.jp/10_10433.html ●バラクーダ、ファイアーウォール製品メーカーを買収 https://www.netsecurity.ne.jp/1_10468.html SCAN編集部は、来日中のVice President Product Ma
軽快さを売りにしていたアンチウイルスソフトが、総合セキュリティソフト化されることで、スパイウェアやスパム対策などの追加機能でがんじがらめになって、激重ソフトに変貌し、ユーザーを落胆させることは多い。 「NOD32アンチウイルス(以下、NOD32)」といえば軽快さに定評のある最右翼ともいえるアンチウイルスソフトだが、「NOD32」の総合化された後継ソフトである「ESET Smart Security」は果たしてどうなのか? 先週までのインタビューでは「ESET Smart Security は NOD32 の軽快さを受け継いでいる」と、販売元企業が激しく主張していたが、果たしてその言葉、鵜呑みにできるのか。その真相を探るべく「NOD32」と「ESET SmartSecurity」そして、より一般的な基準をはかるため業界標準とされている「Norton Internet Security
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く