FrontPage - HackingWiki
ハッキング Wiki † ハッキングの関連のあれこれについてまとめてみようと思っているwikiです。悪いことには使わないでください(たぶん使えないと思いますが)。 内容は少しずつ充実させていきたいと思っていますが、wikiの使い方はあまりわかっていないので事故で消えるかもしれません。 硬いので文体を「ですます」にしようと思います。 誰も編集しないので編集できないように戻しました。編集したい人はyamamoto at bogus.jp宛にメールするか、blogにでも書き込むか、電話でもしてください。。 ↑
Trend Micro Incorporated
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
W32.Gammima.AG ウィルスの駆除 - ユーアイシステムのブログ
今回は、「W32.Gammima.AG」ウィルスの駆除を行ってきました。 シマンテックのサイトによると危険度は1のようですし、ゲームをするパソコンではないのですが、他に感染する可能性もあるため です。 症状としては次の通り。 ・Symantec AntiVirus が「W32.Gammima.AG」を駆除するが、再起動すると再起動するたびに駆除している ・「フォルダオプション」で「すべてのファイルとフォルダを表示する」と「保護されたオペレーティングシステムファイルを表示しない(推奨)」を有効にしても、無効になってしまう ・Dドライブをクリックすると「アプリケーションの選択」が表示されてしまう。 ・USBフラッシュメモリなどを取り付けると感染する まず、下記のサイトを参考にしてシステムの復元を無効にします。 Symantec WindowsXPのシステム復元を有効/無効にする http://
S/MIMEでセキュアな電子メール環境をつくる!
【特集】S/MIMEでセキュアな電子メール環境をつくる! ~実は危ない電子メール、安全性を実現するS/MIMEの詳細解説~ プライベートに仕事に、いまや“電子メール”はわれわれの生活には欠かせないものになりつつある。だが、電子メールが重要なインフラになるほど、第三者による「盗聴」や「なりすまし」といったリスクがつきまとうようになる。そこで活躍するのがS/MIMEだ。S/MIMEを利用することで、暗号化による安全な通信が行える。また、証明書などのPKIのインフラの利用により、本人かどうかの確認も行える。 本記事では、このS/MIMEの仕組みや利用方法について紹介する。また、S/MIMEとよく引き合いに出されることの多い「PGP」との違いについても解説している。ぜひ、安全なメールインフラ構築の参考にしていただければと思う。
5分で絶対に分かるPKI
公開鍵基盤とはいったい何だ Public Key Infrastructure(PKI)は、一般的な日本語訳では「公開鍵暗号基盤」もしくは、「公開鍵暗号方式を利用したセキュリティインフラ」だと言われる。しかしそういわれても、その実体や機能はさっぱり伝わってこない。 一方で、電子署名法の施行や電子政府構想など、社会的にPKIの重要度が確実に高まってきている。いったいPKIとは何なのだろうか、この記事は、わずか5分でその疑問をすっかり解決することに挑戦した。 PKIの分かりにくさは、主に複数の技術の組み合わせであることと、インフラであるがゆえのつかみどころのなさに起因する。しかし、そのコンセプトはそれほど複雑ではない。さっそく説明を始めよう。
PKIの基礎を理解しよう!
インターネットにおける電子商取引のリスク インターネットが急速に普及し、商取引のインフラとしても当たり前のように使われるようになっている。特に最近ではASP(Application Service Provider)という形態でマーケットプレースの提供なども目立つようになってきている。 これに伴って、どのように電子商取引におけるセキュリティを保ち、安全性を確保するのかが大きな課題になっている。ここではまず、インターネットというインフラを電子商取引に使用する場合に、どのようなリスクが存在するのかを考えてみよう。主に以下の4つがそのリスクとして考えられている。 「盗聴」については解説するまでもないだろう。電子商取引においては企業のデータや取引データなど、他人に知られては困るものが飛び交うことになる。これらのデータを他人が盗み見てしまうというのがこの「盗聴」である。 上記の「盗聴」がインターネッ
公開鍵暗号方式
1976年、 ホイットフィールド・ディフィー (Whitfield Diffie) は 暗号の世界に革命を起こしました。 それまでの暗号は、 すべて 秘密鍵暗号方式 (private key encryption system) と呼ばれるものでした。 たとえば下図のように、 A は H に、 B は A に、 C は U に… というふうに文字を置き換えることにすると、 "I LOVE YOU" は "M TVNX SVK" になります。 これならこの手紙が誰かに盗まれたとしても、 何が書いてあるか分からないので安心です。 ところが、 相手がこの手紙を読めるようにするためには、 暗号化に使った 「鍵」 を別途送っておかなくてはなりません。 鍵が漏洩する恐れがあり、 安全とはいいきれません。 ディフィーが考えたのは、 鍵を二つ使うことです。 ひとつは公開鍵 (public key)。 「公
電子証明書と認証局
さて、前回の記事中で、公開鍵はだれがどんな方法で入手してもよいもので、その公開鍵の持ち主を証明するものが電子証明書であることを書いた。今回はこのあたりについてちょっと突っ込んだ話をしよう。 公開鍵はだれのもの? 電子証明書は実世界における印鑑証明書にたとえられることが多い(図1)。印鑑証明書の目的は自治体がその印鑑の持ち主を証明することだ。 印鑑証明書の内容は、 登録された印鑑の印影 その印鑑の持ち主の情報 印鑑証明書を発行した自治体名 その自治体の印 といったものだろう。 この「登録された印鑑」を「公開鍵」に、「発行自治体」を「認証局」に読み替えたものが電子証明書だと思ってよいだろう。つまり、電子証明書の中身はざっと以下のようなものということになる。 登録された公開鍵 その公開鍵の持ち主の情報 証明書を発行した認証局の情報 発行元認証局の署名 電子証明書の詳細なフォーマットについては、I
UTF-7でXSSを発生させる10の方法 - UTF-7でXSSを発生させる10の方法
ちょっと書いてみました。毎回毎回、UTF-7に変換してURLエンコードして…とかするのがめんどくさいので、よく使うパターンを書いていこうと思います。 UTF-7 XSS Cheat Sheet 今日は眠いのでここまで。他のパターンとか解説を書き加えて、随時更新していきます。
Black Hat Japan 2007 Briefings
トレーニング ・全2日間コース、全編同時通訳付。Black Hat より修了証、クラスによっては別途認定証が発行されます ・事前登録受付中。早期割引は9/21まで。座席数限定。 ・ご検討中の方は最少催行人数他の関係上、9/21までの登録を強くお勧めします ・2名様以上のグループ割引受付中。ご入金が一括であればグループ内で別々のコースを受講することが可能です。その他インターネット協会割引、協賛団体会員割引も可能です ・今後のトレーニングコース選抜の参考とさせていただきますので、投票サイトにて皆様からのご意見を随時募集しています。ぜひご協力ください ブリーフィングス ・2日間2トラック、全編同時通訳付。講演内容決定!スピーカーのページをご覧ください ・講演内容公開が遅れましたので、早期割引受付期間を9月30日(日)まで延長しました。早期割引はかなりお得ですので、お早目の登録をお勧めします ・3
MOONGIFT: » SQLインジェクションを防ぐプロキシ「GreenSQL」:オープンソースを毎日紹介
※ 画像は公式サイトデモより。 DBを使ったWebアプリケーションが当たり前になり、その重要性は増す一方だ。万一、データが消失するような事態になったら、ビジネスに与える影響は計り知れない。 SQLインジェクションはDBに対する攻撃の一つだ。システムにバグがなければ良いが、それは起こってみてからしか分からない。予防措置をしいておこう。 今回紹介するオープンソース・ソフトウェアはGreenSQL、SQLインジェクションを防ぐDB用ファイアウォールだ。 GreenSQLはDBとWebサーバとのプロキシとして動作する。そして、その間で行われるSQL文を監視し、問題があるSQLを予め弾いてくれる。 対応しているDBはMySQLのみになる。ただ防ぐだけではなく、危ないものに対してはウォーニングログを残しておいてくれる。ログをチェックする事で、Webアプリケーションの強化も実施できる。 セキュリティ対策
セキュリティ&プログラミングキャンプ2009
高度IT人材の早期発掘と育成に向けて、優れたセキュリティ・プログラミング人材の発掘と育成を行うべく、合宿形式で情報セキュリティやプログラミングについて学ぶ「セキュリティ&プログラミングキャンプ2008」を開催します。2008年7月12日 [キャンプ事務局からお知らせ] セキュリティ&プログラミングキャンプ2008の参加者の書類選考は終了しました。 既に、正式に応募を受け付けた皆様には、書類選考の結果を全員にメールにてお知らせしております。 応募は受理されたのに、書類選考の結果のメールが届いていない方は、事務局までメールにてお問い合わせください。 今回は、全部で260名(セキュリティコース:120名、プログラミングコース:140名)のご応募をいただきました。 厳正なる書類選考の結果、47名(セキュリティコース:29名、プログラミングコース:18名)を参加者として決定させていただきまし
SnijhS aguseg ITpro
「ドメイン名の所有者情報だけじゃ物足りない」,「フィッシング・サイトでないかどうかを確かめるためにWebサイトの情報を洗いざらい調べたい」という場合は,aguse.netを試してみよう。aguse.netは,調査したいサイトのURLや受信したメールのヘッダーを入力することにより,関連する情報を表示するサービスを提供している。 例えばWebサイトのURLを指定すると,ドメイン名情報のほか,Webサイトのページ写真から,実際に表示されるURL,サーバーの所在地までを表示してくれる(写真1)。サーバーの所在地は地図付きの画像で表示してくれる。これらの情報は,aguseが独自に集めた情報で,Webページ画像は7日ごとに取得している。 写真1●WebサイトのURLを指定すると,ドメイン名情報のほか,Webサイトのページ写真から,実際に表示されるURL,サーバーの所在地までを表示 [画像のクリックで拡
hping2
本文書は、NetworkWorld誌に寄稿した記事の原稿を、IDGジャパン編集部殿の許可を得た上で掲載したものです。 ネットワークシステムのセキュリティ対策を実施する際に、「はたしてこれで十分だろうか?」、「どこかに見落とした穴がないだろうか?」と自問するシステム管理者は多いだろう。ノーマルなネットワークアクセスには十分に耐えられるセキュリティシステムでも、通常考えられないような特殊なパケットがきた時に正常に対処できるだろうか? ある種の状態を持つパケットを素通しさせはしないだろうか? 現実問題として、アブノーマルなネットワークアクセスによりパケットフィルタリングを回避し、不正にアクセスできてしまうケースは数多く存在する。その原因はルール設定のミスの場合もあれば、ネットワーク装置の仕様という場合もある。いずれにせよ不正に侵入される前に、自らのネットワークシステムがアブノーマルなアクセスに対
Vulnerability Security Testing & DAST | Fortra's Beyond Security
Network Vulnerability Scanner Made Easy Secure your applications and networks with the industry’s only vulnerability management platform to combine SAST, DAST and mobile security. REQUEST A TRIAL A Key Part of Fortra Beyond Security is proud to be part of Fortra’s comprehensive cybersecurity portfolio. Fortra simplifies today’s complex cybersecurity landscape by bringing complementary products tog
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
電子メールのセキュリティ
FrontPage - Security Akademeia
読み物・講演資料 一覧:IPA 独立行政法人 情報処理推進機構
Ettercap
-- ★俺式-SideB - ARP Poisoning --
