WEBプログラマー必見!WEB脆弱性基礎知識最速マスター - 燈明日記
以下は、WEBプログラマー用のWEB脆弱性の基礎知識の一覧です。 WEBプログラマーの人はこれを読めばWEB脆弱性の基礎をマスターしてWEBプログラムを書くことができるようになっているかもです。 また、WEB脆弱性の簡易リファレンスとしても少し利用できるかもしれません。 WEBアプリケーションを開発するには、開発要件書やプログラム仕様書通りに開発すれば良いというわけにはいきません。 そう、WEB脆弱性を狙う悪意のユーザにも対処しないといけないのです。 今回、WEBアプリケーションを開発にあたってのWEB脆弱性を、以下の一覧にまとめてみました。 このまとめがWEBアプリケーション開発の参考になれば幸いです。 インジェクション クロスサイト・スクリプティング セッション・ハイジャック アクセス制御や認可制御の欠落 ディレクトリ・トラバーサル(Directory Traversal) CSRF(
Windows上でもPDFファイルのパスワードを総当たりで解析できるフリーソフト「PDFCrack」 - GIGAZINE
セキュリティのためにPDFファイルにパスワードをかけたが、そのパスワードが一体何だったのかわからなくなってしまい途方に暮れてももう大丈夫。このフリーソフト「PDFCrack」を使えば辞書ファイルを利用したり、あるいは片っ端から総当たりでパスワードを試すことによって、正しいパスワードを解析して教えてくれます。文字の種類や文字数を制限したり、途中で中断してあとから続きをさせるといったことも可能なので、非常に有用です。解析できるパスワードはオーナーパスワード(いわゆる編集権限として印刷・内容の変更・内容の抽出に対してかけられたパスワード)とユーザーパスワード(閲覧に対してかけられたパスワード、開けようとするとパスワードが尋ねられるタイプ)の2種類となっており、ベンチマークも可能です。 もともとはLinux用のオープンソースのソフトなのですが、有志の手によってWindowsで動作するバージョンも
知っておきたいSSLサーバ証明書の取得まで - livedoor ディレクター Blog(ブログ)
こんにちわ。モバイルディレクターの飯田瞬です。 ウェブディレクターの中には、SSL サーバ証明書が必要なウェブサイトの構築を担当した人は少なくないと思います。 今回は SSL サーバ証明書を取得するにあたり、ディレクターが知っておいた方が幸せになれる必要最低限な事項を簡潔にまとめてみました。 割愛している部分もかなりありますが、詳細まで突っ込むと1エントリーでは収まりきらないため、何卒ご理解いただければと思います... 【01】SSLサーバ証明書って何だろう? SSL を一言でまとめると、住所やカード番号などを暗号化して第三者が傍受してもデータの改ざんや盗聴を防ぐといった技術が SSL です。 SSL サーバ証明書というのは、その SSL の暗号化技術を利用するサーバの身元を、第三者である認証局が保証することを示すものです。この証明書の中には SSL でクライアントとサーバ間の通信を暗号化
Lifehacker Top 10:お役立ちネットワークユーティリティー10選 - ITmedia Biz.ID
難解なコマンドラインツールを駆使しなくても、ポイント&クリックで使える便利なネットワーク活用ツールを紹介する。(Lifehacker) コンピューティングの歴史を振り返れば、ほんとうに楽しいことが始まったのは、優秀な人たちが2台のコンピュータをつなぎ合わせたときからだということは誰にでも分かる。あらゆるネットワーク活用術を可能にするツールが無数に出回っており、その多くはUNIXコマンドにルーツを持っている。だが、難解なコマンドラインツールのことは忘れよう。この記事では、巨大なコンピュータネットワークを最大限に活用する役に立ち、ポイント&クリックで使えるわれわれお気に入りのフリーのソフトとWebアプリケーションを紹介する。 10. Angry IP Scanner(ポートスキャナ) Angry IP Scannerは自分の――そして他人の――コンピュータを調べてオープンポートを探し、IPアド
javascript - パスワードを確認するbookmarklet : 404 Blog Not Found
2007年11月24日15:30 カテゴリLightweight LanguagesTips javascript - パスワードを確認するbookmarklet これの改良版です。 アスタリスクで隠されたパスワードを確認する方法 通常、このようなフォーム内のパスワード部分に入力した文字は盗み見防止のため、「********」のようなアスタリスクになって文字が隠されるようになっていますが、しばしば、この入力したパスワードを確認したい状況になる場合も少なくありません。 ブックマークレット: Check Password ソース: javascript:(function(){ var F=document.getElementsByTagName('input'), a=[]; for (var i=0,l=F.length;i<l;i++){ if(F[i].type.toLowerCas
無線LANのWEP/WPAキーを表示するフリーソフト「WirelessKeyView」 - GIGAZINE
無線LANの設定も昔ほど複雑ではなく、全自動でかなりセキュリティの高い設定ができるようになっている機種も増えていますが、それに伴って「一体自分の無線LANのWEPキーは何なのか?」というのが万が一の際にまったくわからないという事態も増えています。そういう際に役立つのがこのフリーソフト「WirelessKeyView」です。 使い方は至って簡単、起動するだけ。それだけでWindowsのWireless Zero Configurationを使ったWEP/WPAキーが表示されます。ただ表示するだけでなく、テキストファイルにして保存したり、HTML形式のレポートにしたり、クリップボードに直接コピーすることもできます。 ダウンロードと使い方は以下から。 WirelessKeyView: Recover lost WEP/WPA key stored by Wireless Zero Configu
Windowsのパスワードをわずか数分で解析する「Ophcrack」の使い方 - GIGAZINE
Windowsの各種ユーザーアカウントのパスワードを解析して表示することができるオープンソースソフト「Ophcrack」を使ってみました。Windows Vistaにも対応しており、総当たりで解析するのではないため、非常に素早く解析できるのが特徴。数分程度の時間で解析できてしまいます。今回の実験ではジャスト3分でAdministratorのパスワードが表示されてしまいました、ショック。 通常はISOイメージをCDに焼いてCDブートで起動するのですが、今回はUSBメモリから起動してみました。実際に起動してから終了するまでの様子のムービーもあります。 というわけで使い方などの解説は以下から。 ※あくまでも自分のパスワードの弱さをチェックするためのソフトなので、使用する際には自己責任でお願いします Ophcrack http://ophcrack.sourceforge.net/ ダウンロードは
HD DVDの復号化キーを公開したサイトにアクセス殺到中
以前GIGAZINEでHD DVDとBlu-rayの暗号化がついに完全突破されたということを取り上げたましたが、これまで発売されたHD DVDソフトを復号化するためのキーを公開したサイトにアクセスが殺到し、大きな反響を呼んでいます。なんでもこのキーを用いると、Linuxなどでも復号化したHD DVDを楽しむことが可能になるそうです。 なお、このキーはこれまで秘密にされていたものですが、公開した人々は「公開されたことによって法的に保護されるべきものではなくなった」としています。 詳細は以下の通り。 これが公開されているサイト一覧。重くて見られないところもしばしば。 Spread this number Rudd-O.com 09 F9 11 02 9D 74 E3 5B D8 41 56 C5 63 56 88 C0 - The Pirate Bay 早くもWikipediaに登場しています
LiveCDでWindowsログイン画面のPASSを解析する方法
「カミサンにポルノ全部ロックかけられた!」 奥さんにPASS握られて困ったLifehackerのアダム君が使ったのが、Ophcrack使ってWindowsログイン画面のパスワードを解析する方法。 使い方はカンタンで、ここでLive CDをダウンロードして焼いて、そのCD入れてクラックしたいアカウント選ぶだけ。辞めちゃった同僚や別れた奥さん、恋人のマシンを使いたい…なんて時、知っとくと便利だし、自分のパス忘れちゃった時とかにも。くれぐれも悪用はしないように。 PS: アダムの話は作り話です。本当は自分専用のマシンに置いてるみたい。 (編訳/satomi) 英文解説&スクショツアー [Lifehacker] まとめ(日本語)
高木浩光@自宅の日記 - WASF Times版「サニタイズ言うな!」
■ WASF Times版「サニタイズ言うな!」 技術評論社の「Web Site Expert 」誌に、Webアプリケーション・セキュリティ・フォーラム関係者の持ち回り企画「WASF Times」が連載されている。私の番も回ってきたので昨年9月発売号に寄稿させていただいた。近頃はサニタイズ言うなキャンペーンもだいぶ浸透してきたようだし、もういまさら不要という気もするが、以下、その原稿を編集部の承諾のもと掲載しておく。 「サニタイズしろ」だあ? Webアプリを作ったらセキュリティ屋に脆弱性を指摘された――そんなとき、「入力をサニタイズしていない」なんて言われたことはありませんか? 「入力」というのは、ブラウザから送信された情報をCGIパラメータとして受信した値のこと。これを「サニタイズしろ」というのです。なんでそんなことしないといけないの?プログラムの内容からして必要のないことなのに? そう
各ブラウザのproxyサーバ情報を読み出して利用する:CodeZine
という形式の文字列として格納されていますInternet Explorerの設定情報からproxy関連情報を取得する処理の例 「Internet Explorerの設定情報からproxy関連情報を取得する」処理の例を以下に示します(Cで記述しています)。 /* * Internet Explorer の設定情報から、proxy関連情報を取得する */ BOOL getProxyInfoViaInternet Explorer( BOOL *useProxy, /* (O) proxy を使っているか否か */ char *proxyServer,/* (O) proxy サーバ名 */ unsigned short *proxyPort, /* (O) proxy ポート番号 */ BOOL verbose /* (I) verbose モード */ ) { /* 以
バイナリ・ファイルのテキスト化
インターネットが普及する以前,パソコン通信の時代に,バイナリをテキスト化するishという有名なフリーソフトがありました。今回は,2006年なりのishを作ってみようというものです。バイナリ・ファイルをやり取りする場合,誤動作を避けるためにテキスト化することは多々あります。例えば,メールにファイルを添付する際にはbase64というエンコード形式を使用します。今回は,このbase64エンコード/デコードを使用して,バイナリ・ファイルのテキスト化と復元を行います。といっても,base64そのものを作りこむわけではありません。base64変換の機能は,PHPに用意された関数を使います。すべてをPHPで作り上げることもできますがそれでは芸がないので,VBScriptからPHPスクリプトを呼び出して実行させ,またVBScriptに制御を戻すという小技を勉強してみることにします。この小技を知っていれば,
CD一枚でWindowsのパスワードをクラック!? MS公式の対策方法も紹介だ :にゅーあきばどっとこむ
Windowsにかけられたパスワードを解除するソフトというものがあるようだ。「前田ピンチランナー」によると、CDを入れて起動するだけで、「ophcrack」というプログラムが作動し、約5分で全ユーザーのWindowsで使われているパスワードを解析し、表示してしまうそうだ。レジストリ内のSecurity Account Managerを総当たりで解析するらしい。パスワードを解析されないための対処方法は、マイクロソフト内のサポート情報に掲載されているので、そちらを参考にしてほしい。 ・前田ピンチランナー「Windowsパスワード解析」 ・マイクロソフト サポートオンライン「Windows でパスワードの LAN Manager ハッシュが Active Directory とローカル SAM データベースに保存されないようにする方法」
Windowsパスワード解析
今回は、自宅WindowsXPのパスワード解除を検証してみます。 Administratorのパスワード忘れたしまった方、セキュリティーについて考えている方参考にどうぞ。 普段使っているWindowsPCに先ほどのCDを入れて起動させますと・・・ なんとLinux(Ubuntu Linux )がbootするではありませんか!ちなみにCDからブートさせるので WindowsOSは無事です。 しばらくすると、ターミナルが起動し、プログラムが勝手に走ります。 あら、パスワード検索してますよ・・・ すると、5分ぐらいですかね、全ユーザのパスワードが検索されてしまいました。 しかも、それなりに複雑なパスワードだったに・・・。怖いですね〜。 調べてみると、レジストリ内のSAM(Security Account Manager) を総当たりで解析するらしい。 で、対策
データベース・セキュリティにおける「アカウント管理」の重要性
データベースのセキュリティにおいて重要なポイントの一つは「アカウント管理」である。例えばWebアプリケーションに「SQLインジェクション」の脆弱性が存在する場合でも,適切なアカウント管理を実施していれば,その被害を最小限に抑えることができる。 そこで本稿では,データベースにおけるアカウント管理について解説したい。もちろん,アカウント管理がデータベース・セキュリティのすべてではない。監査なども重要なポイントになる。それらについては,次の機会に説明する。 データベースの機能を利用する 情報セキュリティにおいて,アカウント管理は“基本中の基本”である。いくら高価なセキュリティ装置を導入していても,ユーザー名とパスワードを推測されて(あるいは盗まれて)正規ユーザーになりすまされてしまえば,攻撃を防ぐことは難しい。 現在では多くの企業・組織もアカウント管理の重要性を認識している。例えば,デスクトップ
それ Unicode で
UTF-7 を使ってスクリプトを記述 +ADw-SCRIPT+AD4-alert(\'XSS\');+ADw-+AC8-SCRIPT+AD4- IE は、文字エンコーディングが不明で UTF-7 っぽい文字列があれば、自動判別で UTF-7 となる。
オンラインで動く、色, CSS, robots.txt, .htaccess等のジェネレーター色々:phpspot開発日誌
オンラインで動く、色, CSS, robots.txt, .htaccess等のジェネレーター色々 2006年11月13日- Smashing Magazine Blog Archive Online Generators One can discuss, whether web-generators are useful or not. On the one hand, they don’t challenge our creativity, but on the other hand they make our life easier and save our precious time. However, it doesn’t matter really. オンラインで動く、CSSや画像ジェネレーター色々。 色、CSS、METAタグ、htaccess、パスワード、robots.txt
ウノウラボ Unoh Labs: 無料でここまでできる!OS毎のセキュリティ対策まとめ
こんにちは sato です。 個人情報が流出する事件が多発していまが、みなさんはどうしていますか? 今回は僕が家で使用しているツールについて紹介したいと思います。 ウィルス対策 AVG Anti-Virusの Freeを使っています。これでウィルスサーチや メールの添付ファイルチェックなど、大抵のことはやってくれます。 使用しはじめて、半年以上経ちますがまだウィルスに感染したことはありません。 Windows,Linuxは http://free.grisoft.com/doc/avg-anti-virus-free/lng/us/tpl/v5よりDLすることができます。 以下のサイトに使用方法が詳しく書いてあるので、参照させていただきました。 http://eazyfox.homelinux.org/SecuTool/AVG7/AVG701.html Mac用には clamxa
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
知っていますか?脆弱性 (ぜいじゃくせい) - 情報処理推進機構(IPA)
.htaccess ファイルを簡単作成「.htaccess Editor」:phpspot開発日誌