[B! security] honeybeのブックマーク

HTML5 Security Cheatsheet

HTML5 Security CheatsheetWhat your browser does when you look away...

honeybe 2012/02/17

数が多いけどひと通り目を通しておかねば。

リンク

しばしば﹁パスワードは○日ごとに変更しましょう﹂といわれるけれど、それで本当にクラックの危険性は減るの？ペネトレーションテストの現場から検証します︵編集部︶ ※ご注意本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、アンチウイルスソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。また、本記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。今回は久しぶりに、ペネトレーションテストの現場の話から始めよう。ペネトレーショ

honeybe 2011/06/06

security

リンク

コメント masa (2008/02/29 18:31) - パスワードの定期変更は「神話」なのか? - ockeghem(徳丸浩)の日記

ITProの記事が契機となって、PCIDSS︵PCIデータセキュリティ規準︶およびパスワードに関する規定が話題となっている*1。﹁パスワードは90日ごとの変更﹂が義務づけられる！？ | 日経xTECH︵クロステック︶それに対して，PCIDSSは表現が具体的である。現在のバージョン1.1ではパスワードについて下記のような規定がある。 ■要件8.5.8　グループ、共有または汎用のアカウントとパスワードを使用しないこと。 ■要件8.5.9　ユーザー・パスワードは少なくとも90日ごとに変更する。 http://itpro.nikkeibp.co.jp/article/OPINION/20080220/294287/ このうち、要件8.5.9﹁ユーザー・パスワードは少なくとも90日ごとに変更する﹂に関して疑問を持った。これはいわゆる﹁セキュリティの常識﹂という奴の一つではあるが、実際のところ、

honeybe 2011/06/06

「かつてはパスワードを定期変更すべき明確な根拠があったが、現在その根拠は失われている。そして、パスワードの定期変更は『神話』となった」ふむ。

security

リンク

オープンソースの侵入検知エンジン「Suricata 1.0」がリリース | OSDN Magazine

非営利団体The Open Information Security Foundation︵OISF︶は7月1日、オープンソースの侵入検知・防止エンジン﹁Suricata 1.0﹂をリリースした。ライセンスはGPL v2で、Windows、Mac、FreeBSD、UNIX、Windowsに対応。同団体のWebサイトよりダウンロードできる。OISFは米国国土安全保障省科学技術局などの支援を受けて設立された非営利団体。次世代の侵入検知システム、侵入防止システム用のエンジン開発を目的としており、米Breach Securityなどの企業も参加している。 SuricataはSnortルールセットを利用した侵入検知エンジン。マルチスレッド、自動プロトコル検出、GZIP解凍、独立したHTTPライブラリ、HTTPログとPostgreSQLログモジュールなどの機能を持つ。2009年12月にベータ版がリリ

honeybe 2010/07/06

リンク

Hideki SAKAMOTO の雑記 (2010-06-23)

◆ [Rails] 「Ruby on Rails 携帯サイト開発技法」第9章のサンプルコードに含まれる脆弱性について .tright small.(2010/6/25公開)^J2010/6/27: 「追記１」記載、微修正^J2010/6/28: 脚注*5 修正まとめソフトバンククリエイティブ社から発行されている「Ruby on Rails 携帯サイト開発技法」の第9章に掲載されているサンプルコード（ファイル4/4）にはセッションIDの発行・管理に不備があるため、セッションハイジャックが可能です。解説この本の第9章には「携帯端末特化型セッション管理」と称していわゆる「かんたんログイン」の実装サンプルが掲載されています。第9章の冒頭部分から、その特長に関する記述を抜粋すると、 Cookieの代わりにリクエストヘッダからの情報を使ってセッション管理を行うという、携帯サイトならではのセッシ

honeybe 2010/06/28

リンク

高木浩光＠自宅の日記 - 今こそケータイID問題の解決に向けて

■ 今こそケータイID問題の解決に向けて目次ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 Web開発技術者向けの講演でお話ししたこと研究者向けの講演、消費者団体向けの講演でお話ししたこと総務省がパブリックコメント募集中ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 6月初めのこと、ソフトバンクモバイルが「電波チェッカー」というiPhoneアプリを直々に開発して、iTunesストアで配布を始めたというニュースがあったのだが、それを伝えるITmediaの記事で、「取得された電波状況情報はiPhoneのUDIDとともにソフトバンクモバイルに報告される」と書かれているのが気になった。*1 「電波チェッカー」で検索して世間の反応を探ったところ、ソフトバンクモバイル社のCTO（最高技術責任者）の方が、Twitterで直々に市民と対話な

honeybe 2010/06/21

リンク

位置ゲーの位置詐称対策で検討すべき事

OHTSUKA Ko-hei @kokogiko @niryuu 後者の前提で一般的な話をすると、結局ケータイでの位置取得はGET/POSTでの経緯度通知にすぎないので、ユーザが嘘情報を流し込むと詐称されてしまいます。なので、確実に自分達のリンクから来たと検証する手段か、GET/POSTの送付先を知られないための隠蔽手段が必要。 2010-06-09 23:49:30 OHTSUKA Ko-hei @kokogiko 前者の場合、Cookieに1回限りの使い捨てセッション埋め込んだり、Refererをチェックしたりで防げます。最近はCookieやRefererに対応したケータイが主流になってきたので、古い（と言っても意外と最近までですが）DoCoMoケータイを無視するならこれが一番簡単かと。 2010-06-09 23:52:27

honeybe 2010/06/19

ふむ。参考になる。

リンク

HTML5 Security Cheatsheet - 葉っぱ日記

html5security - Project Hosting on Google Code HTML5 Security Cheatsheet 足りてない攻撃パターンとか日本語訳もぼちぼちとcommitしていきますので、間違いとかツッコミあったら教えてくださいませ。

honeybe 2010/05/19

リンク

グーグル、Webアプリケーション脆弱性スキャナ「Skipfish」を公開－＠IT

2010/03/23 米グーグルは3月19日、Webアプリケーションの脆弱性を検査するスキャナ﹁Skipfish﹂を公開した。Apache License 2.0の下、オープンソースソフトウェアとして無償で公開されている。 Skipfishは、Webアプリケーションの脆弱性を自動的に検出するツールだ。Nessusなど、ポートスキャンやバッファオーバーフローの有無などを検査するツールとは異なり、Webアプリケーションに特有のセキュリティホールを検査するもので、Webアプリケーションの開発者やサービス提供者向けに公開されている。具体的には、SQLインジェクションやコマンドインジェクションといった、外部からの不正侵入の原因となりうるWebアプリケーションの脆弱性を検査し、レポートする。また、同じくグーグルがオープンソースで公開している、プロキシサーバ型の脆弱性検査ツール﹁Ratproxy﹂のロ

honeybe 2010/03/25

security

リンク

高木浩光＠自宅の日記 - クロスサイトリクエストフォージェリ（CSRF）の正しい対策方法

■ クロスサイトリクエストフォージェリ︵CSRF︶の正しい対策方法﹁クロスサイトリクエストフォージェリ﹂がにわかに注目を集めている。古くから存在したこの問題がなぜ今まであまり注目されてこなかったかについて考えているところだが、引越しやら転勤やらでいまひとつ日記を書く時間がない。しかし、 @ITの記事などのように混乱させる解説も散見されるので、一点だけ対策方法について書いておくとする。クロスサイトリクエストフォージェリ――Cross-Site Request Forgeries (CSRF)を防止する簡潔で自然な解決策は以下のとおりである。前提ログインしていないWeb閲覧者に対するCSRF攻撃︵掲示板荒らしや、ユーザ登録を他人にさせる等、サイト運営者に対する業務妨害行為︶はここでは対象としない。ログイン機能を持つWebアプリケーションの場合、何らかの方法でセッション追

honeybe 2009/12/24

リンク

脆弱性情報共有フレームワーク - MyJVN バージョンチェッカ

MyJVN にようこそ MyJVN は JVN iPediaの情報を、利用者が効率的に活用して頂けるように、脆弱性対策情報を効率的に収集したり、利用者のPC上にインストールされたソフトウェア製品のバージョンを容易にチェックする等の機能を提供する仕組み（フレームワーク）です。

honeybe 2009/12/24

あとで試してみる。

security

リンク

Mira's Report » Blog Archive » 【ウィルス対策】Avira Antivir日本語版

honeybe 2009/12/08

security

リンク

Reverse engineering Charange 2008 -イベント情報：NetAgent Co., Ltd.

自動車セキュリティ検査サービス当サービスは、ハッカーエンジニアチームが、自動車に対して攻撃者視点での侵入テストを行い、現状潜在しているセキュリティの弱点を調査することにより、製品としてのセキュリティレベル向上を支援するサービスです。自動車セキュリティ検査サービス詳細ハッカーエンジニアチーム詳細

honeybe 2009/10/29

あとで。

リンク

エガミくんの脆弱性のやつ

こんにちは！ id:Hamachiya2 ですよー。ブックマークコメントでIDコールされたけど、﹁コメント返すためにブクマ (してリンクジュースを流すこと) ﹂は、ちょっと今回は間接的にでもできない感じなのでこっちで返答しますね！ http://zapanet.info/blog/it em/1418 http://b.hatena.ne.jp/entry/http://zapanet.info/blog/it em/1418 2008年10月19日 hiroyukiegami id:Hamachiya2 助けてください。色々やってみたのですがやはり、わかりません…。コード公開しております。すみません、誰か具体的に教えてもらえると嬉しいのですが︵涙︶http://flickr2.in/flickr.zip いきなりソースコード丸投げして﹁わかりません﹂って言われてもちょっと困るよー。ま

honeybe 2008/10/21

オープンコードレビューと聞いてブクマ。あとでよむ。

リンク

DHCPスヌーピングでよりセキュアな環境を構築する－＠IT

番外編 DHCPスヌーピングでよりセキュアな環境を構築する澁谷　寿夫 AlpHa FACTORY 高鳥　正彦 Infoblox株式会社 Systems Engineer 2008/8/20 連載﹁もう一度見直したいDNS／DHCP﹂の最終回﹁DHCPベストプラクティスと新たな役割の模索﹂では、DHCPを利用した不正PCの排除方法を解説しました。しかしそこにはただし書きとして﹁DHCPを使わない方法でIPアドレスを設定されるとお手上げ﹂という一文がありました。そこでDHCPサーバとスイッチの機能を利用して、安全に不正PCを排除する方法を考えます︵編集部︶以前、DHCPベストプラクティスとして、DHCPを利用して不正PCの排除を行う方法について説明しました。その際にも説明しましたが、この方法は完全ではなく、詳しい人であればIPアドレスを手動で設定してDHCPの制限を逃れることができるという

honeybe 2008/08/26

リンク

無料でWebアプリにありがちな脆弱性を調べて治す

無料でWebアプリにありがちな脆弱性を調べて治す‥Tomcatはどこまで“安全”にできるのか？︵5︶︵1/3 ページ︶前回の﹁Tomcatのセキュリティとリスクの基本分かってる？﹂ではTomat自体が持つ脆弱︵ぜいじゃく︶性について調べていきましたが、今回はWebアプリケーションのセキュリティについて調べていきましょう。 Webセキュリティを調べる無料ツールとは？ Webアプリケーションが持つ脆弱性はいくつか存在しますが、前回の説明にあった﹁インジェクション系﹂や﹁クロスサイトスクリプティング﹂︵XSS︶などが有名です。それ以外にも﹁パラメータ改竄︵かいざん︶﹂や﹁セッションハイジャック﹂といった脆弱性が一般的にはよく見つかります。このような脆弱性は特定の手法で見つかることはよくありますが、すべての手法を人が覚えて実行するのは大変です。設定のミスまで自分で探すのはとても大変なことで、常

honeybe 2008/08/16

security

リンク

What's VISA Problem

VISAドメイン問題解説 Wed Jun 25 12:33 JST 2005 更新 @ EXPO 詳細(英語版)をアップしました。こちらのサマリーもどうぞ。 VISA.CO.JPをはじめとする多くのドメインのDNSをE-ONTAP.COMが運用していた。(2000〜) E-ONTAP.COMがいつの頃からか機能停止ブラウザ等からの要求で各サイトのDNSクライアントが WWW.VISA.CO.JP等を検索すると、DNSの仕組上、まず JP, CO.JPを管理するサーバである a.dns.jp, b.dns.jp, d.dns.jp, e.dns.jp, f.dns.jp のいずれかが参照される。そこに、E-ONTAP.COMが運用停止後もccdnsi01.singtel-expan.com escdns01.e-ontap.com が登録されていたため、この2つのいずれかが参照される

honeybe 2008/02/18

security
dns

リンク

はてなブックマーク

タグ

関連タグで絞り込む (13)

securityに関するhoneybeのブックマーク (17)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第2週）

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

今週のはてなブックマーク数ランキング（2024年7月第1週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス