Google、Webアプリ向けセキュリティテストツール「Firing Range」をオープンソースで公開 | OSDN Magazine
米Googleは11月18日、Webアプリケーション向けのセキュリティスキャンツール「Firing Range」をオープンソースで公開した。さまざまなXSS攻撃やWeb脆弱性を大規模にテストでき、社内でも継続的テストなどに用いているという。 Firing Rangeは、社内で開発したWebアプリケーションのセキュリティスキャンツール「Inquisition」をオープンソースプロジェクトにしたもの。ライセンスはApache License 2。 Google App Engine上に構築したJavaアプリケーションで、Chrome、Google Cloud PlatformなどのGoogleが持つ技術で構築されている。XSSの解析技術「XSS Peeker」など、一部ミラノ工科大学の研究者の支援を受けた。低い誤検知率、使い勝手の良さなどを特徴とする。 ほかのXSSスキャナなどの脆弱性テストと
米NetflixがAWSセキュリティ設定追跡ツール「Security Monkey」を公開 | OSDN Magazine
ネット経由でのDVDレンタルサービスやオンライン動画配信サービスなどを手がける米Netflixが6月30日、Amazon Web Services(AWS)における設定のモニタリングと分析を行うソリューション「Security Monkey」をオープンソースソフトウェアとして公開した。変更追跡システムとして利用できるもので、設定がいつどのように変更されたかを監視できる。 Netflixはオンライン動画配信サービスを提供するにあたってAmazon Web Services(AWS)を利用したシステムを構築しており、AWSでの運用向けに開発した多数のツールをオープンソースソフトウェアとして公開している。すでに公開されているものとしてはサービス障害対策「Chaos Monkey」やリソース自動削除の「Janitor Monkey」などがある。 Security Monkeyは、常時変更しているA
Cisco、ペネトレーションテスター向けのデータ管理ツール「Kvasir」を公開 | OSDN Magazine
米Cisco Systemsの開発者は9月23日、ペネトレーションテスト管理ツール「Kvasir」をオープンソースソフトウェアとして公開した。複数のテストデータに統一的なデータ構造を持たせ、管理やレポートの作成を容易にするという。 Kvasirは、CiscoのAdvanced Servicesが顧客向けに実施するセキュリティテストで利用しているツール。Python向けWebフレームワークの「web2py」を使って構築されたアプリケーションで、ペネトレーションテストの追跡とテストデータ管理支援を目的とする。 「Nexpose」や「Metasploit Pro」、「Nmap Security Scanner」、「Shodan」、「John The Ripper」など多数の脆弱性検出ツールやフレームワークをサポートし、これらのデータを管理できる。Ciscoのチームがよく利用するというNexpos
Mozilla、Webアプリ脆弱性テストのためのデータベース「FuzzDB」を発表 | OSDN Magazine
Mozillaの開発者は8月16日、アプリケーションの脆弱性テスト(Fuzzテスト)に向けたさまざまなリソースを集めたデータベース「FuzzDB」をオープンソースで公開したことを発表した。Webアプリケーションのセキュリティテストなどさまざまな用途に利用できる可能性があるとしている。 FuzzDBはアプリケーション脆弱性テスト向けのリソースを集めたデータベースで、攻撃パターンや予測可能なリソース名、サーバーリスポンスメッセージの正規表現パターン、ドキュメンテーションリソースなどを含む包括的なテストケースを収録している。 Mozillaの開発者が個人的に収集したドキュメンテーションやリサーチメモが拡大してプロジェクトとなったもので、Webアプリケーションのペネトレーションテストのほか、自動スキャンツールなどの構築、HTTPセマンティック以外を利用するネットワークサービスのテスト、ISDとIP
Mozilla、セキュリティテスト自動化フレームワーク「Minion」を発表 | OSDN Magazine
Mozillaのセキュリティチームは7月30日、セキュリティ自動化プラットフォーム「Minion」プロジェクトを発表した。Webサイトの自動スキャンやテストに利用できる「サービスとしてのセキュリティ(Security As A Service)」を提供するもので、同日バージョン0.3のコードを公開した。 Minionはオープンソースのセキュリティ自動化プラットフォーム。多数のユーザーを抱えるサービスやWebサイトをサポートするMozillaのセキュリティチームが、セキュリティテストの自動化や統合を目的に1年前に開発を開始した。開発者はこれを利用して、セキュリティテスト自動化に必要な基本要件を設定できるという。プロジェクトの基本ルールとして、容易さ、開発者向け、ツールではなくプラットフォーム、拡張性、安全性、オープンなどを掲げている。 Minionは管理プラットフォーム「Task Engin
ポートスキャンツール「Nmap」を使ったセキュリティチェック | OSDN Magazine
サーバーの基本的なセキュリティ対策の1つとして重要なのが、ネットワーク内のどのマシンがどのポートでサービスを提供しているのかを把握することだ。このために有用なのが、ポートスキャナと呼ばれるツールだ。本記事ではポートスキャナとして有名な「Nmap」というソフトウェアを使用し、ポートスキャンを行う方法について解説する。 定番のポートスキャナ「Nmap」とは 対象として指定したホストに対してポート番号を変えながらIPパケットを送信し、その反応を調べることでどのポートが外部からアクセス可能なのかを調査する行為をポートスキャンと呼ぶ。Nmap(Network Mapperの略)は、オープンソース(GPLv2ライセンス)で開発・提供されているポートスキャンツール(ポートスキャナ)だ。NmapではOSが提供するソケット機能を利用するだけでなく、ポートスキャンに使用するパケットを独自に生成することで、高速
MD5やSHAの代替として利用可能な新たなハッシュ化技術「BLAKE2」登場 | OSDN Magazine
12月21日、ハッシュアルゴリズム「BLAKE2」とそのCおよびC#実装が公開された。BLAKE2はMD5やSHAといったハッシュアルゴリズムの代替として利用できるもので、セキュリティに優れ高速に動作するのが特徴という。 BLAKE2は、与えられた入力に対し指定されたビット長のハッシュ値を生成するためのアルゴリズム。既存のハッシュアルゴリズムであるMD5よりもセキュリティに優れ、かつSHAよりも高速に処理を実行できるのが特徴という。 同様のハッシュアルゴリズムとしてSHA-2やその後継となるSHA-3(Keccak)などがあるが、BLAKE2はSHA-3アルゴリズムの候補の1つであったBLAKEを改良したものとなっている。BLAKE2はSHA-3やBLAKEと同等のセキュリティを備えつつ、64ビット環境においてMD5と同等の速度で動作し、SHA-2やSHA-3と比べて33%少ないメモリで動
ほとんどのAndroid向けWebブラウザで利用できるプロクシ型広告ブロックツール「Adblock Plus 1.0 for Android」リリース | OSDN Magazine
Adblock Plus開発プロジェクトは11月28日、オープンソースのAndroid向け広告ブロックツール「Adblock Plus 1.0 for Android」をリリースした。Webブラウザで表示される広告を非表示にする(ブロックする)ためのツールで、透過型プロクシとして動作する。 Adblock Plus for Androidは、Google ChromeやFirefox、Operaなどのデスクトップ向けWebブラウザで利用できるAdblock PlusのAndroid版。Webページ内に表示される広告の読み込みをブロックすることで不要な広告を非表示にし、Webブラウジングをより高速かつ安全にできるという。広告フィルタリング用のブロックリストはデスクトップ版のAdblock Plusと同じものを使用しているとのこと。対応OSはAndroid 2.1以上。 なお、Androidの
Mozilla、Cookieによるオンライン追跡を視覚的に表示するアドオン「Collusion」を発表 | OSDN Magazine
Mozillaは2月28日、Web上で誰が自分を追跡しているのかを表示する実験的なアドオン「Collusion」を発表した。オンラインプライバシーに関する取り組みの1つとなり、透明性を改善しユーザーの認知を促す。 Collusionは、自分の行動について誰が追跡しているのかをリアルタイムに把握できるアドオン。アドオンバーから起動すると新しいタブが開き、サードパーティCookieを用いてユーザーの情報を共有しているWebサイトのバーチャルグラフを作る。また、このようなトラッキングを行っている事業者のリストを掲載している「Privacychoice.org」においてリストされているサービスは赤枠で表示される。 MozillaはCollusion開発の目的について、ユーザーに向けてオンラインプライバシーについての認知を促すためと説明している。正式版では、Web追跡者に関するデータを匿名で共有し、
仮想マシンを使い強固なセキュリティを特徴とする「Qubes OS」、初のベータを公開 | OSDN Magazine
ポーランドInvisible Things Lab(ITL)は4月12日、高レベルのセキュリティを持つOSを目指す「Qubes OS」のベータ1を公開した。プロジェクトのWebサイトよりインストール用ISOイメージをダウンロードできる。 Qubes OSは、ITLが2010年4月に発表した強固なセキュリティを目指すOSプロジェクト。Xen、X Window System、Linuxなどの技術をベースとしたOS環境で、仮想マシンを利用して「仕事」「プライベート」「オンラインバンキング」など、目的ごとにそれぞれ隔離されたセキュリティドメインを作成して利用することでセキュリティを強化するとしている。 ベータ1では、初となるインストーラーが導入された。また、仮想マシンテンプレートの共有機構も強化されている。デフォルトの仮想マシンテンプレートは「Fedora 14」のものをベースとしている。このほか
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
