第1回 まずは「クッキー」を理解すべし
Webアプリケーションのぜい弱性がなかなかなくならない。メディアなどでも盛んに取り上げられているにもかかわらず,である。特に,セッション管理がからむアプリケーションのぜい弱性には,気付かないことが多い。具体的には「クロスサイト・リクエスト・フォージェリ」(CSRF),「セッション・フィクセーション」などである。これらはクロスサイト・スクリプティング,SQLインジェクションといった比較的メジャーなぜい弱性に比べて認知度が低く,対策も進んでいない。 原因の一つは,アプリケーションの開発者が原因を正しく理解していないこと。CSRFやセッション・フィクセーションについて言えば,セッション管理に使うクッキー(cookie)の動作を理解していないと対策が難しい。ところが最近の開発環境では,セッション管理の仕組みが隠ぺいされているため,必ずしもこの知識は要求されない。こうした開発者は容易にはぜい弱性に気
ゼロ円でできるインターネットVPN(1/4)
ゼロ円でできるインターネットVPN OpenVPNで手軽にVPN構築 オープンソースのソフトウェア「OpenVPN」を利用すれば、手軽にSSL-VPNによるインターネットVPN環境を構築することができます。そのインストール・設定方法を紹介しましょう。(編集局) Shin.鶴長 2008/5/2 元祖仮想化はネットワーク? 高速なCPUの普及を背景に、XenやVMwareのような仮想化技術が注目されていますが、ネットワークにおいても、ブロードバンドのような高速インターネット回線の普及を背景に、インターネットVPNが利用されるようになっています。 VPNはインターネット上に仮想的な専用線を構築し、離れた拠点間を直接つなぐことができます。VPNはNATルータやファイアウォールを越えた接続も可能なため、外部のインターネットからはアクセスできない社内ツールに、自宅に居ながらアクセスすることができます
無線LANのWEP/WPAキーを表示するフリーソフト「WirelessKeyView」 - GIGAZINE
無線LANの設定も昔ほど複雑ではなく、全自動でかなりセキュリティの高い設定ができるようになっている機種も増えていますが、それに伴って「一体自分の無線LANのWEPキーは何なのか?」というのが万が一の際にまったくわからないという事態も増えています。そういう際に役立つのがこのフリーソフト「WirelessKeyView」です。 使い方は至って簡単、起動するだけ。それだけでWindowsのWireless Zero Configurationを使ったWEP/WPAキーが表示されます。ただ表示するだけでなく、テキストファイルにして保存したり、HTML形式のレポートにしたり、クリップボードに直接コピーすることもできます。 ダウンロードと使い方は以下から。 WirelessKeyView: Recover lost WEP/WPA key stored by Wireless Zero Configu
ぼくはまちちゃん! こんにちはこんにちは!!
君は“はまちちゃん事件”を知っているか? mixiのホームページ。mixiユーザーの中には、赤で囲んだ“マイミクシィ最新日記”欄に、“ぼくはまちちゃん!”の文字がいくつも並んだ人がいた 古くからのmixiユーザーであれば、“はまちちゃん事件”を覚えている人も多いだろう。2005年4月、mixiで大勢のユーザーが“ぼくはまちちゃん!”というタイトルを付けた、謎の日記を次々に公開するという怪現象が起こった。 きっかけとなったのは、あるユーザーが投稿した日記。その日記の本文には「こんにちはこんにちは!!」という言葉とともに“あるURL”が貼り付けてあった。 このURLが罠で、不思議に思って押すと、クリックしたユーザーのページに“ぼくはまちちゃん!”というタイトルで同じ文面/URLの日記が勝手にアップされてしまうのだ。 投稿は“ねずみ算”的に増え、一時は混乱状態に…… さらに、勝手にアップロードさ
無線LANアクセスポイントを機能強化する無料ファームウェア「Tomato Firmware」 - GIGAZINE
現在市販されているさまざまな無線LANアクセスポイント(無線LANブロードバンドルータとか呼び方はいろいろ)について、その機能について設定を変更するコントロールパネルみたいなものがどれでも付いていますが、それを入れ替えることで使えなかった機能を使えるようにしようというのが無料で利用できる代替ファームウェアの特徴。 今の無線LANブロードバンドルータが数万円クラスの高級機と同等の機能を備えるようになり、さらにそれ以上の機能が付くこともあります。 というわけで、そういうお得な使い方ができる無料代替ファームウェア「Tomato Firmware」を今回は取り上げます。詳細は以下。その他の無料代替ファームウェアも集めてみました。 リンクシスのWRT54G/GL/GSシリーズと、BUFFALOのWHR-G54SおよびWHR-HP-G54で利用可能なのが以下のファームウェア、「Tomato Firmw
鵜飼裕司のSecurity from USA : P2PソフトShareの暗号を解析,ネットワーク可視化システムを開発
1. はじめに Shareと呼ばれるP2P型ファイル交換・共有システムがここ二年ほどで急速に普及し、Winnyについで第2の巨大P2Pネットワークを構成している事は皆様もご存知かと思います。以前、ネットワーク脆弱性スキャナ「Retina」(http://www.scs.co.jp/eeye/)にWinnyの検出機能を実装致しましたが、同様にShareの検出機能も実装して欲しいという強い要望を日本の皆様から頂いておりました。このためには、Shareを解析せねばなりません。 どうせShareを解析するならば、利用されている暗号アルゴリズムやプロトコルを詳細に解析し、現在日本で大きな社会的問題となっているShareネットワークでの情報漏えい問題に何か手を打てればと思い、年明けからShare EX2の解析に着手しました(以降、「Share」 = 「Share EX2」とする)。この甲斐あって、Re
高木浩光@自宅の日記 - ユビキタス社会の歩き方(3) 無線LANのSSIDを不用意に明かさない
■ デイリーポータルZ 記者の家を探しに行く 5月27日の日記「PlaceEngineのプライバシー懸念を考える」では次のように書いた。 つまり、家庭の無線LANアクセスポイントのMACアドレスを誰かに知られることは、住所を知られることに等しい。そのような事態をPlaceEngineサービス(および類似のサービス)が新たに作り出したことになる。 「MACアドレスは個人を特定するものではない」と言えるだろうか?もし、別のネットサービスで、何らかの目的で家庭の無線LANのMACアドレスを登録して使うサービスが始まったとする。そのサービスもまた、「MACアドレスから個人が特定されることはありません」と主張するだろう。このとき、PlaceEngineとこのサービスの両者が存在することによって、わからないはずの住所が特定されてしまう事態が起きてくる。 PlaceEngineなどのサービスが存在する現
無線LANアクセスポイントの機能を強化するファームウェア「DD-WRT」
既存の無線LANアクセスポイントや無線LANブロードバンドルータの代替ファームウェアとして機能し、VPN機能やQoS機能、SSH、Syslog、Samba、SNMPによる管理、Telnet、UPnP、VLAN、Wake On Lanなどの機能も利用可能になり、暗号化もWPA/TKIP、AES、WPA2、RADIUS認証などが可能になるというとんでもないものです。 国内ではバッファローやLinksysの無線LANアクセスポイントに適用できます。ちゃんとブラウザ経由でコントロールできるようになっているので難しい操作も必要なし。インストールも通常のファームウェアアップデートの手順とほぼ同じなのでかなり簡単。 動作が確認されている無線LANアクセスポイントもリスト化されているので、数千円の無線LANアクセスポイントを数万円クラスの機能を搭載した無線LANアクセスポイントにすることも可能というわけで
高木浩光@自宅の日記 - ユビキタス社会の歩き方(5) [重要] 自宅を特定されないようノートPCの無線LAN設定を変更する
■ ユビキタス社会の歩き方(5) [重要] 自宅を特定されないようノートPCの無線LAN設定を変更する 昨日の日記を書いて重大なことに気づいたので、今日は仕事を休んでこれを書いている。昨日「最終回」としたのはキャンセルだ。まだまだ続く。 目次 Windowsの無線LANはプローブ要求信号として自動接続設定のSSIDを常時放送している Windowsの新たな設定項目「このネットワークがブロードキャストしていない場合でも接続する」をオフに Windowsの無線LANが放送するSSIDからPlaceEngineで自宅の場所を特定される恐れ 電波法59条について再び Windowsの無線LANはプローブ要求信号として自動接続設定のSSIDを常時放送している 昨日の日記の図3で、probe request信号の例としてSSIDが「GoogleWiFi」になっているものを使った。これは昨日キャプチャし
)
ハッカーがネットワークに侵入する方法
TechNet Magazine の内容の TechNet ライブラリへの移行 これまで TechNet Magazine に載せられてきた技術コンテンツは、2016 年 9 月以降、TechNet ライブラリの指定されたセクションに移行されます。 TechNet Magazine は、2005 年から 2013 年 10 月まで発行されました。2005 年に 3 号、2006 年から 2012 年は 12 号ずつ、2013 年に 10 号発行されました。最終号と同時に、TechNet では Microsoft TechNet Companion アプリが発表され、製品、機能、近日予定のイベントに関する最新のニュースが事実上どこからでも確認できるようになりました。スマートフォン、タブレット、PC から、カスタマイズ可能なフィード、ストリーミング ニュース、Microsoft コンテンツの統
ethna.jpやjp2.php.netに発生したトラブルについて - maru.cc@はてな
本日起こった、ethna.jp や、jp2.php.net のサイトに、ActiveX や Flash の脆弱性をついた攻撃をする html を読み込む iframeを差し込まれるというトラブルが発生しました。 ちょっとかかわったので、流れを記録として残しておこうと思います。 ethna.jpの第一報 10:30ごろ、%Ethna のIRCチャンネルで、mikaponさんから、mlの保存書庫に不正な iframe が差し込まれているという報告がありました。 10:31 (mikapon) おはようございます 10:32 (mikapon) ethnaのサイトなんですが 10:32 (mikapon) mlの保存書庫の所にiframe埋め込まれてませんか? ちょうど出社中の時間で、この発言をリアルタイムでは見れなかったのですが、土曜日に tiarra を入れたおかげで、発言を見ることが出来ま
ZABBIX-JP - Un-Official Support Page
このサイトは統合監視ソフトウェア"Zabbix"の非公式日本コミュニティサイトです。日本におけるZabbixの普及を目標としています。 ZabbixはZabbix LLCにより開発され、日本国内のオフィシャルサポートはZabbix Japanが提供しています。 Zabbixオフィシャルリリース(ソースコード) 6.2.3 (2022/9/21) [ダウンロード] : [リリースノート] 6.0.9 (2022/9/21) [ダウンロード] : [リリースノート] 5.0.28 (2022/9/19) [ダウンロード] : [リリースノート] 4.0.44 (2022/9/19) [ダウンロード] : [リリースノート] Zabbixオフィシャルパッケージ (rpm, deb) Zabbix LLCのZabbix 4.0、5.0、6.0オフィシャルRPM(RHEL, CentOS, SUSE
ITmedia Biz.ID:Hamachiを使ってセキュアにVNC
フリーのVPNソフト「Hamachi」と遠隔操作ソフト「VNC」の組み合わせで、安全に、コンピュータを遠隔操作する方法を紹介。(Lifehacker) 自宅のコンピュータに保存した電話番号を、会社から参照したいと思ったことはないだろうか。友人宅でメディアサーバの設定を頼まれ、ほかに管理する人もいなくて外から操作する必要に迫られたことは? あるいは、遠くに住む母親から、Flickrの使用について助けを求められたことはないだろうか。ご存じのように、Virtual Network Computing(VNC)を使えば、離れた場所にあるコンピュータをインターネット経由で遠隔操作できる。だが、VNCはセキュアなプロトコルではない。加えてリモート側のマシンが、あなたには制御できないファイアウォールの向こう側にある場合、VNCは役に立たない。 しかし、VNCと仮想プライベートネットワーク(VPN)アプリ
Apacheに対するサービス拒否攻撃を回避する方法
筆者は最近,Apache HTTPサーバーに対するサービス拒否攻撃を防御するWebベースのセキュリティ・ツール「mod_evasive」を使い始めた。mod_evasiveは特定の挙動を探してそれをブロックするモジュールである。 mod_evasiveは,筆者が昨年の12月に紹介した「Suhosin」に似ている(関連記事:PHPの「守護神」Suhosin)。SuhosinはPHPスクリプティング・エンジンの安全性を大幅に高めるパッチである。Suhosinは,害を及ぼす危険性を持つありとあらゆるWebベースのコンテンツを検出し,それらがPHPエンジンを越えてシステムやネットワークに到達するのを防ぐ上で役に立つ。 mod_evasiveが機能する仕組みを説明しよう。mod_evasiveはまずURLリクエストをApacheサーバーに送信するIPアドレスの記録を取る。その後,あらかじめ設定した許
Netcraft
Resources Explore thought leadership, industry insights, and other resources related to cybercrime detection, disruption, and takedowns. Blog June 2024 Web Server Survey In the June 2024 survey we received responses from 1,101,431,853 sites across 269,118,919 domains and 12,865,432 web-facing computers. This reflects ... Read More Learn More Blog Too good to be true: Beware the temptation of recov
ssh scp sftp の正しい自動実行方法
Landscape トップページ | < 前の日 2004-11-15 2004-11-17 次の日 2004-11-18 > Landscape - エンジニアのメモ 2004-11-17 ssh scp sftp の正しい自動実行方法 当サイト内を Google 検索できます * ssh scp sftp の正しい自動実行方法この記事の直リンクURL: Permlink | この記事が属するカテゴリ: [ssh] [セキュリティ] scp と sftp について調べていると、正しい自動実行についての文書を見つけた。cron から scp や sftp を自動実行しようと考えている私には役に立つ文書だ。 - 「専用のパスフレーズなしの鍵を作って権限限定」がベスト正しいssh/scpの自動運転は ぴろ日記 http://www.banana-fish.com/~piro/20040609.
松下PLCは「屋外へ垂れ流し」「障害窓口ナシ」(電力線通信アダプター発表会後編)
11月13日発表の松下電器PLCアダプター(高速電力線通信)のレポートを続けます。 前編はこちら→ついにPLC製品登場。12月9日発売、最高速度55Mbps。ただし「壁コンセント直結」で 取材メモはこちら→PLCアダプター発表会速報メモ PLCアダプター無料配布のリリースはこちら→PLCアダプターをモニターに無料配布:電力系プロバイダ 設置方法:工事なしでボタン一つで設定完了 日本初となるPLCアダプターは、個人向けに発売されます。ADSLのようにプロバイダー経由でレンタルする方式が中心になるのかと思いましたが、そうではなく販売店で個人に直接販売する形が中心となります(プロバイダー経由の供給も検討とのコメントあり)。 設定方法はとてもシンプルです。2台のPLCアダプターを同一のコンセントにつなぎ、本体上部にある「SETUP」ボタンを押すだけ。5秒以内に2台のセットアップボタンを押せば、お互
各種ルータの初期パスワードがわかるサイト「Default Router Passwords」 - GIGAZINE
以前に「さまざまな機器のデフォルトのパスワード一覧」ということで、ネットワーク機器など、さまざまな機器の工場出荷時のパスワードをリスト化しているページを紹介しましたが、今度はルータのみに的を絞ったサイトが出現したようです。 詳細は以下の通り。 Default Router Passwords - The internets most comprehensive router password database http://routerpasswords.com/ プルダウンリストからルータのメーカーを選んで「Find Password」ボタンをクリックすると、パスワードがわかるという仕組み。 やはりパスワードはちゃんと変更しておかないとセキュリティ的には非常に危険ということですね……。
Winnyの通信解読に挑戦!
Winnyの通信を特定する方法には,「流れるパケットのパターン(トラフィック・パターン)を調べる方法」と,「パケットの中身を調べてWinnyのパケットであることを確認する方法」の2通りがある。前者は,直接中身のデータをのぞいているわけではないため,通信の秘密を守るという大前提があるプロバイダがWinnyを規制する際に使っている。しかし,Winnyの通信を確実に特定するなら,後者の方法がベストである。実際にWinnyの通信を解読できるのか,Winny作者の金子勇氏の著書『Winnyの技術』やインターネットで得られた情報などを参考に挑戦してみた。 Winny(ウイニー)同士の通信はすべて暗号化されている。このため,流れるパケットをのぞいても,内容がどんなものなのかだけでなく,Winnyの通信なのかどうかも,ひと目ではわからない。Winnyが採用している暗号アルゴリズムRC4は,Webアクセスや
Proxomitron-J
(2008/08/14) 古い記事はコメントアウトしました。 (2006/03/09) トップページに Proxomitron 等に関する Wiki へのリンクを追加しました。各コマンドの動作などについて、細かく検証した記事があります。フィルタを公開したりもできるようです。 ファイルを落とそうとするとスパイウェアらしいものがたくさんついた状態で落ちてくる ThemeXP から、exe ファイルではなく zip ファイルを落とせるようにするフィルタ。 [Patterns] Name = "ThemeXP File Downloader (2006/03/06)" Active = TRUE URL = "www.themexp.org/" Bounds = "<a\s*>" Limit = 500 Match = "*theme_control.php*(\?|\&)mid=([0-9
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
