無線LANは超危険!?(2) 無料AP検索ワザと非暗号化の恐怖 | 教えて君.netWEPパスワードのクラック以前にAP(アクセスポイント)にはそもそもパスワードが設定されていない場合が少なくない。外出先でも無料で使える無線LANのアクセスポイント(AP)は「inSSIDer」を使って検索できる。 「inSSIDer」を使うとAPにかかっているセキュリティの種類やMACアドレスなどの情報がグラフィカルに見ることができる。対応している無線LANカードの種類も豊富なので手軽に動かせるぞ。 ■無料で使える無線LANを捜索
クリックジャックの脆弱性があるみたい - hogehoge @teramako
Firefox 3.0.5 にステータスバーを偽装できる欠陥 - Windows Livebookmark ステータスバーの表示を偽装できてしまう脆弱性があるようです。「ようです」というか実装コードのサンプルもあるのでやってみると確かにステータスバーに表示されているURLとは別のURLへ飛んだ。 ポップアップでURLバーを偽装している風のやつかなと思ったので、ステータスバーが標準と異なるVimperatorなら問題ないんじゃないかと思ったが、作りが全然違ってVimperatorでも偽装されてしまった。 作りはサンプルを見てくださいな。 Safari,Chromeでも動作するようです。GeckoもKHTMLも同じような実装方法なんだろうけど、リンクのクリック時の動作ってどうなっているんだろう。クリックイベントを受け取ってtargetからURLを割り出してオープンしているのとは違うっぽい感じ。
GPUを利用した無線LANのパスワードクラッキングが主流に
GPUを利用したパスワード復元攻撃にかかると,弱いパスワードは耐えられない。1月第3週にリリースされた「Wireless Security Auditor」は,無線ネットワーク上で使われているWPA/WPA2-PSKパスワードの強さを調べるために,ネットワーク管理者が貫入テストを行うのにかかる時間を短縮するものだ。このソフトウェアの核になる機能は,GPUを利用することによって,無線LANのパスワードの復元の速度を100倍以上に高速化することだ。当然ながら,非道徳的なウォードライバーがこのツールを使えば,もはや安全と言えない8文字のパスワードなら,簡単に推測できるようになってしまう。 Wireless Security Auditorが興味深いのは,このソフトウェアはルータに対する直接的な総当たり攻撃を行うのではなく,オフラインのステルスモードでパスワード回復を行なうことだ。 Elcomso
Apacheの安全を確保するための10の対策 - builder by ZDNet Japan
あなたは自分の会社のウェブサイトをサービスするApacheをインストールしたところだとしよう。Apacheはスムーズに動作しており、万が一の場合にもLinuxのセーフティネットが助けになるはずだと思う。ところが、2週間ほど経ったところで、いろいろとおかしなことが起こり始める。なぜだろう。ApacheとLinuxを使っているのに・・・おかしくなることなどあるだろうか? もちろん、注意を払わなければ、おかしくなることはいくらでもあり得る。Apacheを安全にする方法はあるが、もちろん何もしなければ安全にはならない。以下に示すのは、Apacheをより安全なウェブサーバにするための簡単な10の方法だ。 #1: とにかくアップデート LinuxでApacheを動かしているからと言って、アップデートが不要だということにはならない。常に新しいセキュリティホールやリスクが登場している。あなたは、最新のパッ
「DNSキャッシュポイズニング脆弱性」を風化させるな - @IT
DNSは、インターネットにとってドメイン名とIPアドレスを結び付けるという重要な役割を担っています。近年においては、電話番号からサービスを検索する「ENUM」や迷惑メールに対する技術的対策としての「SPF」といったように、その応用範囲も広がりを見せるようになっています。インターネットが社会的に重要な位置を占めるようになったいま、DNSの安定を図ることは従来にも増してより大きな意味を持つようになりました。 そうした中で、2008年の夏に話題になった「カミンスキーアタック」は、DNSの信頼性を低下させる大きな脅威です。その仕組みについては各所で解説されていますのでここでは割愛しますが(関連記事)、キャッシュDNSサーバに偽の情報を仕込める可能性の高さは容認できるものではありません。 日本レジストリサービス(JPRS)では、カミンスキーアタックの問題と対策がクローズアップされた当初より、.JPの
USBメモリを悪者にしないための“プラスアルファ”
USBメモリを悪者にしないための“プラスアルファ”:セキュリティTips for Today(1)(1/3 ページ) 1つの脅威に対して取れる対策は複数の方法があり、その中から運用に適した方法を選択すべきです。日ごろから現場と密接に連携するサポートサービスは、脅威の特性を熟知し、複数の対策案から現場にあったものを選んでもらう必要があります。本連載ではサポートエンジニアがそのノウハウを、今日使える“Tips”として解説します(編集部) はじめまして。今回から連載を担当することになりました、飯田と申します。私が勤務するトレンドマイクロでは、安全なデジタル情報を交換できる世界の実現を目指し、さまざまな不正プログラム対策に関するソリューションを提供しています。私はスレットモニタリングセンター(Threat Monitoring Center)のシニアスレットリサーチエンジニア(Senior Thr
第21回 文字エンコーディングとセキュリティ(3) | gihyo.jp
前回に引き続き、今回も文字エンコーディングとセキュリティをテーマに解説します。前回は壊れた文字エンコーディングを利用した攻撃、文字エンコーディングを誤認識させる攻撃を紹介しました。今回はSJIS特定の問題を簡単に紹介します。 文字エンコーディングのエスケープ方式を利用する方法 ほとんどの文字エンコーディングは、マルチバイト文字の中に“\”などの特殊文字を含みません。しかし、例外があります。Shift_JISでは“\”がマルチバイト文字に含まれるので、これが原因で脆弱性が発生する場合あります。 SJISの“表” <?php echo rawurlencode(mb_convert_encoding('表', 'SJIS', 'UTF-8')); ?> 出力 %95%5C “%5C”は“\”です。“\”は文字列のエスケープなどに利用される特殊文字です。addslashes関
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Amazon.co.jp: クラッカー・プログラム大全 新装版: Kracker's & BEAMZ: 本