Web-based DNS Randomness Test
2023-06-01: This service has been deprecated in favor of Check My DNS. US-CERT's Vulnerability Note VU#800113 describes deficiencies in the DNS protocol and implementations that can facilitate cache poisoning attacks. The answers from a poisoned nameserver cannot be trusted. You may be redirected to malicious web sites that will try to steal your identity or infect your computers with malware. Wor
Linux/Unixのセキュリティ sudo vi/lessなどを禁止するときの対応策 sudo edit, sudo -e
セキュリティのためsudoコマンドを利用して、オペレーションを することがあると思います。このときにsudoersで実行可能な コマンドを限定することで、さらに安全になります。 そこで、出てくるのが、 sudo vi や sudo less がしたいとか 言われたりします。 sudo viを許可するとどうなりますか? viコマンドは、外部コマンドを実行することができるため、 sudo viで起動したroot権限を持つviは、root権限でコマンドを 実行することができます。viからコマンドが起動されるため、 sudoコマンドの設定の影響を受けません。 ようするに、何もかも許しているのとなんら変わりません。 lessも同様にコマンドを実行することができます。 sudo less file で実行したlessコマンドからcshを起動すれば、 root権限のシェルが起動されます。 このような任意
Google,Webアプリ用試験ツール「ratproxy」をオープンソースとして公開
米Googleは米国時間2008年7月1日,Webアプリケーションの安全性を確認できるツール「ratproxy」をオープンソースとして公開した。同社のWebサイトから無償ダウンロード提供している。 同ツールは,これまで同社が社内でWebアプリケーションを試験する際に使っていた。プロキシ・サーバーとして作動し,クロスサイト・スクリプティングに悪用される恐れのあるコードや,情報漏えいにつながる問題などを調べられる。従来のセキュリティ・ツールと違い,意識することなく利用でき,オーバヘッドも小さいという。 ソフトウエア・ライセンスはApache License 2.0。現在のバージョンは「1.51ベータ」。Linux/FreeBSD/Mac OS Xと,Windows向け疑似UNIX環境Cygwin用に開発した。 [GoogleのMichal Zalewski氏によるブログ投稿記事]
さくらサーバが警察に捜査されるときは普通はこんなかんじ。 - satoru.netの自由帳
http://d.hatena.ne.jp/Hamachiya2/20080614/cyber_police id:Hamachiya2 さん の エントリーに反応してみるお。( ^ω^ )ニコニコ 僕もまえに、サクラで借りているサーバに関して警察から照会を受けたことがあったよ。 その時は、はまちちゃんさんのエントリとはちょっと違う対応だったんだ。詳しく説明すっよ! メールの内容 さくらさんから来た、突然のお手紙はこんなかんじ。 件名:[重要:ご連絡] さくらインターネット株式会社 From:"さくらインターネットカスタマーセンター " 会員ID :(さくらの会員ID) ご契約者:矢野 さとる様 お世話になっております。さくらインターネットの***と申します。 さて、先日警視庁***警察署より、お客様にてご利用いただいております (IP)につきまして、以下項目に対する捜査関係事項照会書が届
警察から電話が…! - ぼくはまちちゃん!
大変です! たいへん! こんにちは!! さっきtwitterにも書いたんだけど、警察から電話がありました! どうしよう!!! とりあえず、せっかくなのでこっちの日記にも書いておきますね!! そう、ぼく予告.outを、自慢のD905iでも読み書きできるようにしよーって思って、久しぶりに携帯を見てみたんだよ! そしたら、いつもはモバゲーのマキとか、ジャンカラとか、逆援希望とかのメールばかりなのに、珍しいことに留守電が! はやる気持ちを抑えつつも、再生してみたら、宮城県警でした! びっくり! なんでぼくに警察から電話が! しかもミヤギの! あ! そうか! 予告.outがすてきだからってことで表彰してくれるのかもしれない! あるいは一日署長の依頼かも? そんな感じでわくわくしながら、電話してみたよ! 警察: はいこちら警察本部ですー はまち: あのうそちらのサイバー?なんとかさんから、ぼくあてにお
徳丸浩の日記 - そろそろSQLエスケープに関して一言いっとくか - SQLのエスケープ再考
補足 この記事は旧徳丸浩の日記からの転載です。元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2。 備忘のため転載いたしますが、この記事は2007年11月26日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり 本稿ではSQLインジェクション対策として、SQLのエスケープ処理の方法について検討する。 最近SQLインジェクション攻撃が猛威を振るっていることもあり、SQLインジェクションに対する解説記事が増えてきたようだが、対策方法については十分に書かれていないように感じる。非常に稀なケースの対応が不十分だと言っているのではない。ごく基本的なことが十分書かれていないと思うのだ。 SQLインジェクション対策には二通りある。バインド機構を使うものと、SQLのエスケープによるものだ。このうち、SQLのエスケープについて、十分
Debian JP Project - 最近の話題 - OpenSSL パッケージの脆弱性とその影響について (SSH鍵、SSL証明書等)
OpenSSL パッケージの脆弱性とその影響について (SSH鍵、SSL証明書等) 残念な事に Debian の OpenSSL パッケージに脆弱性が見つかりました。見つかった問題は既に修正されていますが、 今回の問題はパッケージの更新だけで済ませられないものとなっています。 今回の問題は、OpenSSL の乱数生成部分について、Debian の OpenSSL パッケージのメンテナが Valgrind (C/C++ プログラムでのメモリリークなどの問題を見つけるデバッグツール) を使っていて見つけた問題を修正しようとして誤ったパッチを当ててしまった事が原因です。 これによって、乱数が使われずに暗号が非常に弱いものとなってしまう問題が発生しました。 なお、この問題は Debian だけに止まらず Debian をベースとしているディストリビューション (Ubuntu など)やシステムにも影
I, newbie » Debian/UbuntuのOpenSSLに脆弱性
Debian固有の脆弱性2発([DSA 1571-1] New openssl packages fix predictable random number generator、Ubuntu Security Notice USN-612-1 May 13, 2008 openssl vulnerability、Ubuntu Security Notice USN-612-2 May 13, 2008 openssh vulnerability)。一瞬、なんでこれがOpenSSHに関連するのかわからんかったけど、PRNGがダメダメでその影響だった。原因は、「Valgrindがうるさいのでコメントアウトしてしまおう」(Debian Bug report logs - #363516 valgrind-clean the RNG pkg-openssl: openssl/trunk/rand/
はてなブログ | 無料ブログを作成しよう
新米と秋刀魚のわた焼き お刺身用の秋刀魚を買いました。1尾250円です 3枚におろして、秋刀魚のわたに酒、味醂、醤油で調味して1時間ほど漬け込み、グリルで焼きました 秋刀魚のわた焼き わたの、苦味が程よくマイルドに調味され、クセになる味わいです 艶やかな新米と一緒に 自家製お漬物 土…
JavaScriptを使ってイントラネット内を外から攻撃する方法:Geekなぺーじ
「Hacking Intranet Websites from the Outside」という講演が2006年にありました。 Black Hatでの講演です。 以下に説明する手法は既に公開されてある程度時間が経過している情報なので、ご存知の方にとっては既に古いとは思います。 詳細はプレゼン資料をご覧下さい。 概要 ファイアウォールなどに守られたイントラネットやホームネットワークの内部を攻撃する手法が解説してありました。 JavaScriptの基本仕様を組み合わせて情報を収集するというものでした。 最終的には、プリンタから印刷を行ったり、ルータの設定を変更するなどの攻撃が可能になるようです。 それ以外にも、Web経由で設定変更が出来るものは状況によっては影響されるかも知れません。 プレゼン後半ではCSRF(XSRF, cross-site request forgery)も解説されていました
ふと今日は・・・・・・ AVG Anti-Virus Free Edition 8.0 リリース
02«|12345678910111213141516171819202122232425262728293031|»04 文字サイズ Firefox 43 より、署名なしの拡張が無効化されることとなりました。 その為、使用できなくなるこのブログ上のすべての拡張は今後更新されることがありません。 AVG Anti-Virus Free Edition 8.0 がリリースされたのでアップデートしてみた。 ダウンロードはこちら:軽い・堅い・簡単ウイルス対策、セキュリティソフト AVG - AVG Anti-Virus Free Edition 8.0 ダウンロード アンチスパイウェア機能が統合されているので重くなるかと思ったのだが、7.5 とほとんど変わらず。 相変わらず軽くて良い。 以下導入方法をスクリーンショット付きで。 スクリーンショットが多いので READ MORE... よりどうぞ。
「Firefoxを使い続けるための“お勧め”設定」 , NoScriptを組み込んでいないFirefoxは使用停止に
「Firefoxを使い続けるための“お勧め”設定」 , NoScriptを組み込んでいないFirefoxは使用停止に 最近,ある企業のシステム管理者から「Webページを不正に改ざんされる事件が最近特に増加し,その改ざんされたサイトをWebブラウザで閲覧した場合,ウイルスを送り込まれることが多いと聞く。Webブラウザを使用する時に,利用者側で行うべき対策をアドバイスしてほしい」との相談を受けました。 確かに,3月に入ってから国内の数多くのWebサイトが改ざんの被害にあっています(関連記事)。痛ましいのは,被害者であるはずのWebサイトが不正な改ざんにより,一般の閲覧者への加害者に仕立てられることです。Webサイトの管理者は,当然ながら今回の攻撃で主な手口として使用されたSQLインジェクション対策などの不正アクセスに耐えうる対策を施すべきです。しかし,このように多数のWebサイトが改ざんされる
I, newbie » サウンドハウスの情報漏洩 その2
4/7(月) 13:34 三菱UFJニコスよりメールで連絡あり。 「カード会社に連絡してください」という部分を訂正して欲しい、というリクエストあり。どのような文言がよいかと、電話で質問。メールにて以下の文章を受け取り、内容を差し替えリクエストに応じる。本日ご配信しました情報流出に関するご案内の中に「クレジットカードの登録をされたお客様で、上記流出の対象となる場合は、お手数でもクレジットカード裏面に記載のある窓口へ連絡を取っていただき、カード会社の指示に従い、ご対応いただくようお願い致します。」と表記いたしましたが、クレジットカード会社側では、カードの不審な利用をモニタリングする等、不正使用を早期に発見できる体制を整えており、また、万が一、本件に起因してお客様のカード情報が不正に使用され被害が発生した場合には、お客様にご負担をおかけすることのないように対応することと聞いておりますので、お客
I, newbie » サウンドハウスの情報漏洩 その3
まずは、管理体制が甘かったのかという点。結論だけ書くと「落ち度があったと言えるレベルではない」という主張は微妙です。当時の対策としてあげられているのは、 ファイアーウォール ハッカーセーフ 3Dセキュア なんですが、箱とサービスだけなんですね。どのような方針で運用されていたかが見えてこない。鍵をかけても植木の下に鍵を隠しておくようではダメダメだし、対策にしろポリシーにしろ運用による裏付けがないと意味がないわけです。むしろ、対策をしたつもりで「安心感」を得たかったように見えます。それぞれの対策が何をカバーするのか、どんなメリットがあってどんな制限があるのかを理解していたようには思えません。理解不足の原因がどこにあるのは、レポートからは読み取れませんので追求しませんが。もちろん、これ以下の対策(というか無対策)しかしていないところもごまんとありますが、それをもって平均より上だからOKとはなりま
I, newbie » サウンドハウスの情報漏洩
「不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ」(詳細 PDF)が出てた。カカクコムに代表されるような「ごめんなさい、これからは気をつけます、詳しくは言えません」というお詫びではなくて、時系列付きの経過報告が半分近くを占めるという異例の(その点で画期的な)報告でした。しかし、文章がテキストとして処理できない。SEOですかね。 前半の時系列はインシデント対応の実例としてとても貴重。やや曖昧な時刻になっているのは、メールなどで正確な記録を確認できなかったからだと推測。それでも時系列を記録できているのは、記録の重要性に気づいていたからだと思う。 3/21(金) 11:50 三菱UFJニコス株式会社(以下三菱UFJニコス)より「サウンドハウス(以下SH)のサーバーがハッキングされている可能性がある」と電話にて連絡あり。 これが第1報。金曜の昼なので、対応は週末をはさむ+もろもろの対応が
スクリプトインジェクション対策の特集 – gihyo.jp
(Last Updated On: 2008年4月10日)技術評論社でブログっぽい記事を書かせて頂いています。4月3日からスクリプトインジェクション対策で注意すべき項目が掲載されます。一般的なスクリプトインジェクション対策「バリデーションしエスケープする」ではなく、万が一スクリプトインジェクションに脆弱であった場合でも被害を最小限に留める対策、見落とされがちな対策を中心に解説しています。 # 一度に書いた記事なのでどう分割されるか私も分かりません。 # 物によっては2回に分割するかもしれないので20弱くらい # だと思います。 http://gihyo.jp/dev/serial/01/php-security から最新の一覧を参照できます。 ご意見やご希望などございましたらこのブログから送って頂いても、メールで送って頂いても歓迎致します。ご興味がある方はご覧ください。 現在(4/9)時点
MS製フリーソフトで既存PCを擬似シンクライアント化,まずは持ち出しPCのセキュリティ確保を
「社員の持ち出しPCのセキュリティを確保したい。できればあまりコストを掛けずにシンクライアントを導入したいが,どうしたらいいか」。最近,ある企業のシステム管理者から,こういう相談を受けました。 昨年くらいからシンクライアントを再評価する機運が高まっています(関連記事)。シンクライアントの歴史は長く,筆者が最初に目にしたのは,米オラクルが「NC」(Network Computer)を提唱した10年以上前のことです。当初はシンクライアントのメリットとして,データやアプリケーションをサーバーで一括管理できるため,TCO(total cost of ownership:コンピュータ・システムの導入・運用・管理にかかるコストの総額)の低減,端末の安さが挙げられていました。ただ,PCの低価格化が進んだことで,シンクライアントの価格面のメリットは薄れました。サーバー機器の費用を含めるとと,どうしても割高
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
サービス終了のお知らせ
2008-05-19
米国税関が新制度を近くスタート、入国者が所持するPCのデータを丸ごとコピー - Technobahn