【Windows 10対応】パスワードを忘れたWindows OSにログオン(サインイン)する
退社した人のPCや前の管理者が管理していた共有PCなど、パスワードが分からなくなり、仕方なくWindows OSを再インストールする羽目になった、ということもあるのではないだろうか。実は、パスワードが分からなくなっても、ちょっとした操作でパスワードの再設定ができる。ただし悪用は厳禁である。他人のPCに対して許可なく、以下の方法でログオン(サインイン)すると犯罪になる。 以下、Windows 10のインストールメディアを使い、Windows 10のパスワードを解除する手順を紹介する。他のバージョンのインストールメディアやWindows 7/8/8.1でも同じ手順でパスワードの再設定が可能だ。 Windows OSのパスワードをリセットする裏技 パスワードを再設定するには、ちょっとした裏技(?)を利用する。Windows 7/8/8.1/10のログオン(サインイン)画面にある[コンピューターの
「ROP Illmatic: Exploring Universal ROP on glibc x86-64」というタイトルで発表した - ももいろテクノロジー
AVTOKYO2014 このブログで書いてきたExploit系のいろいろについて話した。 ROP Illmatic: Exploring Universal ROP on glibc x86-64 (ja) from inaz2 Also English version is available. マイクを持ちながらのデモがきつかったり、時間をオーバーしてしまったりしたが、まあよしとしたい(というかするしかない)。 終わった後のネットワーキングタイムでは、[censored] があって最高だった。 なお、実際にDemo 2のURLにあるエクスプロイトコードをスライド中のVulnerable Codeに使う場合は、s/p32/p64/gする必要がある。 本質的でない部分での差異なので手を抜いた。 あとは、ひたすらビールを飲んでうろうろしていた。 来年も何か話せるネタができるようにがんばりたい
コマンド実行でシェルが怖いなら使わなければいいじゃない - 拡張 POSIX シェルスクリプト Advent Calendar 2013 - ダメ出し Blog
http://blog.ohgaki.net/os-command-escape-shell-spec-command-implementation 「えすけーぷじゅうよう!!」を強調して言いたいからなのかシェルの理解が足りないからなのか、 意図がよくわからない文言やら説明が散見されますが、きりがないのでそれらはスルーします。 (シェルについては、なんで関係ない tcsh の話が出てくるんだとか、 位置パラメーター展開に $* 使うなとか、色々) 特に気になったのが以下の文章です。(強調は私によるもの) OSコマンドはOSが提供するシェルで実行されます。 シェルはテキストインターフェースを持ち、 テキストでコマンドとオプションを受け取り実行します。 例示した脆弱なPHPプログラムの場合、 ユーザーからの入力に対しセキュリティ処理を一切してないため、 簡単にサーバーを乗っ取られる可能性があり
Re:うちのアクセスポイント名 (#2704343) | アメリカン航空136便、Wi-Fiアクセスポイントの名前が原因で17時間遅れる | スラド
うちは black_hacker とか、serial_killer とか、なんとか、そのたぐいのアクセスポイント名にしてるよ~
求むバグ・ハンター…プログラム欠陥発見人 : IT&メディア : 読売新聞(YOMIURI ONLINE)
プログラムの欠陥(バグ)を見つけてくれたら報奨金払います――。IT企業が始めたそんな試みが注目されている。バグなどが原因で生じるセキュリティーの穴(脆弱性(ぜいじゃく))はサイバー攻撃の“突破口”となりやすく、その情報は攻撃者の間で高値で売買されている。そこで、攻撃者の手に渡る前に外部の目を借りて探しだし、修正しようというのだ。脆弱性が表面化することを嫌い、探す行為を犯罪視さえしてきた日本の風潮に、一石を投じられるだろうか。(編集委員 若江雅子) 外部通報に報奨金も 「攻撃者が先に穴を見つけるか、我々が先に見つけて塞ぐか。その攻防に外部の『目』を借りたいということです」 東京のソフト開発会社・サイボウズの伊藤彰嗣さん(34)は、今年6月から始めた報奨金制度をこう説明する。自社の製品やサービスの脆弱性を見つけてくれた人に、その危険度などに応じて最大100万円の謝礼を提供する。これまで技術者や
●サイバーセキュリティ基本法案
目次 第一章 総則(第一条-第十一条) 第二章 サイバーセキュリティ戦略(第十二条) 第三章 基本的施策(第十三条-第二十三条) 第四章 サイバーセキュリティ戦略本部(第二十四条-第三十五条) 附則 第一章 総則 (目的) 第一条 この法律は、インターネットその他の高度情報通信ネットワークの整備及び情報通信技術の活用の進展に伴って世界的規模で生じているサイバーセキュリティに対する脅威の深刻化その他の内外の諸情勢の変化に伴い、情報の自由な流通を確保しつつ、サイバーセキュリティの確保を図ることが喫緊の課題となっている状況に鑑み、我が国のサイバーセキュリティに関する施策に関し、基本理念を定め、国及び地方公共団体の責務等を明らかにし、並びにサイバーセキュリティ戦略の策定その他サイバーセキュリティに関する施策の基本となる事項を定めるとともに、サイバーセキュリティ戦略本部を設置すること等により、高度情
WAF除外ルールも作れるWordPressセキュリティプラグイン「SiteGuard WP Plugin」
普及率が高いぶんクラッカーから狙われやすいWordPress。セキュリティを高めて自衛しておきたいところですが、そんなセキュリティを高めるのにかなり良さげなプラグインがリリースされました。その名も「SiteGuard WP Plugin」。 WAF製品を提供しているJP-Secure社がリリースしたプラグインで、セキュリティ向上のための機能を複数持っています。 「SiteGuard WP Plugin」の持つ機能 「SiteGuard WP Plugin」は以下の機能を有しています。 管理ページアクセス制限ログインページ変更画像認証ログイン詳細エラーメッセージ無効化ログインロックフェールワンスピンバック無効化WAFチューニングサポート 1〜7までの機能は類似プラグインや、他の単一プラグインなどで導入することもできますが、8のWAFチューニングサポートはこのプラグインならではの機能だと言えま
OpenSSHによる二段階認証について ワンタイムパスワード編 - WebPay Engineering Blog
こんにちは、sowawaです。 OpenSSHによる二段階認証についての続編記事です。 ワンタイムパスワード(One Time Password: よくOTPと略されます)とは、一回限りの使い捨てのパスワードのことです。認証するサーバ等との間で事前に共有が必要な情報は、 アルゴリズムにより様々ですが時間やカウンターをベースにしたものがよく利用されています。 最近では、様々なサービスで同じメールアドレスとパスワードの組み合わせで使い回されたことによって、 ひとつのサービスから流出したパスワードとメールアドレスを他のサービスに対する不正アクセスに頻繁に利用された結果、 重要な情報を扱う様々なサービスではOTPを利用したニ段階認証が導入されるようになりました。 多くの人がアカウントを持っているGoogleでは、Google Authenticatorと呼ばれるモバイル端末等で動作するOTP生成ア
Reddit - Dive into anything
Are Perl backticks or the `system` command vulnerable to the BASH environment variable execution vulnerability? When Perl starts a sub-process using the system() function call or the backtick operator (also qx//) does it start a BASH shell and, if so, is it vulnerable to environment variable execution?
とある診断員と色々厄介な脆弱性達
2. 自己紹介 セキュリティエンジニアやってます。 脆弱性診断業務を担当しており、専門はWebセキュリ ティです。 趣味で脆弱性の検証したり、最近はCTFイベントなどに 参加してたりします。 TwitterID: tigerszk 3. Webアプリの脆弱性ってどんなの? Webアプリの脆弱性達 SQLインジェクション OSコマンドインジェクション パス名パラメータの未チェック/ディレクトリ・トラバーサル セッション管理の不備 クロスサイト・スクリプティング CSRF HTTPヘッダ・インジェクション メールヘッダインジェクション アクセス制御や認可制御の欠落 IPA「安全なウェブサイトの作り方」より https://www.ipa.go.jp/security/vuln/websecurity.html 例えばこんなのがありますね
サイト管理者によるコラム「セキュリティ企業としてWeb改ざんについて最適解を考えてみた」|NTTデータ・セキュリティ株式会社
NTTデータ・セキュリティのサイト管理者によるコラムセキュリティ企業として「Web改ざん」について最適解を考えてみた <第一話>「根本的な対策」とは? 本コラムは、Gumblarの脅威の一つである「Web改ざん」の対策にフォーカスをあてた内容になっています。 終わらないWeb改ざんの脅威 2010年を迎えて間も無く、日本の大手サイトが多数被害に遭い、今なお、猛威を振るっているコンピュータ・ウイルス、Gumblar。 FTPの情報を盗み出し、そのサイトを改ざんすることで、ほんの数時間前まで安全だったサイトを、アクセスしてきたユーザを悪意に満ち満ちた闇の入り口に追いやる、いわゆる「誘導サイト」へと仕立て上げるという手口で虎視眈々と獲物を狙っています。 Gumblar騒動は一時期よりは、沈静化したように見えるかもしれませんが、実態はまだまだ深刻な状況です。特に個人ユーザのサイトや個人ユーザは対策
グループ ポリシーを用いたデバイスのアクセス制御について | Blogs - Ask CORE - Site Home - TechNet Blogs
Windows テクノロジー サポートの奥原です。 情報漏えい等の観点から、リムーバブル デバイスへのアクセス制限を行いたいといったお問い合わせが多く寄せられますが、アクセス制御はどのような方法があるのかをご説明させて頂きます。 USB ストレージデバイスなどといったリムーバブル デバイスを特定のユーザや端末でアクセス制限を設けたい場合、グループ ポリシーを用いてアクセス制限を行うことができます。 アクセス制限の方法は、大きく分けて以下の 2 種類があり、それぞれの機能について説明します。 - デバイスのインストール制御 - リムーバブル記憶域へのアクセス制御 デバイスのインストール制御 このポリシーは、Windows Vista 以降で有効であり、デバイスドライバのインストールを制限します。 動作するタイミングは、デバイス接続時のプラグ アンド プレイ (PnP) の処理で実行され、制限
Ssl証明書を設定したらapacheが起動しない?
This document discusses Veriloggen, a Python framework for generating Verilog HDL code from Python. It allows designing hardware at the register-transfer level using Python by mapping Python constructs to Verilog modules, always blocks, wires, and other Verilog constructs. Veriloggen includes modules for RTL generation (Core), connecting Python threads to finite state machines (Thread), and defini
Linuxサーバーのアカウント管理について | おそらくはそれさえも平凡な日々
少人数でサービス開発をしていると、サーバーのアカウント管理を疎かにしてしまいがちです。良くないことだとわかっていながらも、共用ユーザーのログイン情報を数人で共有していたりだとか、rootばかり使っているなんてこともあるのではないでしょうか。 それだとオペレーターが増えたり、退職者がでたりした時に困ることになるので、最初からルールと仕組みを決めておいた方がトータルで楽になります。 前提 パスワードやログイン鍵の共用、ダメ!絶対! rootを常用するの(・A・)イクナイ!! パスワードやログイン鍵を共用していると、人数が増えた時に誰が作業しているのか把握するのが大変になりますし、退職者が出た時に一斉変更をせざるを得なくなって混乱してしまいます。逆に一部のスタッフを別扱いして権限を制限したユーザーをアドホックに作ったりしてしまうのも管理が煩雑になります。じゃあどうすればよいかというと、個人ごとに
SECCON 2014 Writeup [フォレンジック 300] - 千切りの長さの決まり方
はじめての記事。この投稿で終わらないようゆる~くがんばります。 SECCON 2014の直前に、急遽チーム「********」にぶっこまれ、フォレンジック担当としてチーム参戦させていただきました。折角参加させて頂いたので、Writeupでも書こうかなとブログを始めることにしました。 メンバーがとにかくぴちぴちの、しかし溢れんばかりの技術用語が次々とこぼれるこわいい(可愛い×こわい)男子学生さんばかりですごく新鮮な12時間でした。い、一緒に居るだけでセクハラ扱いされなくてよかった…(((・-・))) さて、[フォレンジック 300] の問題はこちら。 「捏造された契約書を暴け」 **********************問題文ここから********************** ある会社からSECCONが守秘義務に違反しているとの警告文書が届きました。しかし、SECCON はその会社とは過
![SECCON 2014 Writeup [フォレンジック 300] - 千切りの長さの決まり方](https://cdn-ak-scissors.b.st-hatena.com/image/square/d014eac5834f1ad049bb0d47d5b014198fb3fa84/height=288;version=1;width=512/http%3A%2F%2Fcdn-ak.f.st-hatena.com%2Fimages%2Ffotolife%2Fs%2Fsakenokirimi%2F20140721%2F20140721152354.png)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://jprs.jp/tech/material/rfc/RFC3833-ja.txt
Walti サーバーサイドのセキュリティ スキャンを身近に
Yahoo! JAPAN
DeNA Engineering - DeNAエンジニアのポータルサイト
[PDF]サイバーセキュリティ政策に係る年次報告 (2013年度) / 平成26年7月10日 内閣官房情報セキュリティセンター