AVTokyo反省会

牡蠣とかフグとかを食べながら、AVTokyo 2011の良かった点、よくなかった点を話あったりしました。 AVTOkyo 2011は会場がいままでのところと違ったところが多かったので、思い通りにいかない部分がいろいろあったなと思いつつ、今後どうするかという話をした…

Security Diary

https://sect.iij.ad.jp/IIJのセキュリティ情報統括室スタッフによるブログが公開されたようですね。 たまにしか更新しないこのblogと名前が似ているので、申し訳ない気がしますが期待しています。

CERT Oracle Java セキュアコーディングスタンダード

JPCERT/CCでThe CERT Oracle Secure Coding Standard for Javaの日本語版が公開されています。 気を付けるべきポイントごとに悪いコードの例として違反コード、良いコードの例として適合コードが書かれています。

THC SSL DOS

THC-SSL-DOS is a tool to verify the performance of SSL. だそうで、SSL handshake stress testerのようですね。

AVTokyo 2011

今年もAVTokyoが11月に開催されます。会場もキャパシティも大きくなったので、どんな感じになるのか楽しみです。 日程と場所は以下のとおりです。 日程: 2011年 11月 12日(土) 場所: club axxcis SHIBYA (クラブアクシス渋谷)(URL)

Macbook late 2008のメモリを拡張

Mac

Macbookを2008年に買ったままの状態にしていたので、ずっと2GBのメモリで使ってきたのですが、さすがに足らない気がしてきたので、メモリを大きいものに差し替えることにしました。 公式には4GBまで載るみたいですが、非公式に8GBまで行けるそうで、CFDの4GB…

ICONIA TAB A500

先週Honeycombタブレットが欲しいと思い、ポチッと買ってしまいました。acer【アイコニア】ICONIA タブレットPC シルバー ICONIA TAB A500-10S16出版社/メーカー: 日本エイサー発売日: 2011/07/01メディア: Personal Computers購入: 2人 クリック: 6,381回こ…

OWASP ZAP 1.3.0

OWASP Zed Attack Proxy Project - OWASPペネトレーションテスト用のProxyツール。機能としては自動スキャナ機能など以下のようなものがあります。 Intercepting Proxy Automated scanner Passive scanner Brute Force scanner Spider Fuzzer Port scanner D…

Burp Suite 1.4

Burp SuiteBurp Suiteがバージョンアップしました。IPv6対応や文字コードの自動認識機能などが付いたようです。 Blogによると追加された機能は以下の通りです。 This is a major upgrade with numerous new features, including: The ability to compare sit…

入門 考える技術・書く技術

以前、バーバラ ミントの著書「考える技術・書く技術」を途中まで読んだんですが、あまり腹落ちしていないので、買ってみました。入門書だけあってとっつきやすい気がしますね。【送料無料】入門考える技術・書く技術 [ 山崎康司 ]ジャンル: 本・雑誌・コミ…

Nintendo 3DS

もともとあまり買うつもりはなかったのだが、3月にデータセンターでの待ち時間がたくさんありそうだったので、暇つぶしのために購入。 ところが震災があってスケジュールが変更になったこともあり、あまり使う場がなく放置状態だったりする。ブラウザもまだ…

Arirang 2.01

Webサーバのセキュリティをチェックするツール。2002年にversion 1.6がリリースされてからずっとアップデートが止まっていたのですが、アンテナで開発が再開されたのを知ったのでメモ。 arirang Ruby script というスクリプトをサポートしたりいろいろ機能拡…

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

そろそろ徳丸本が発売されるそうなので、メモ。Webアプリケーションセキュリティの本はここしばらく出ていなかったので、どのようにまとまっているのか楽しみです。 (参考)これで最低限! - 書評 - 体系的に学ぶ 安全なWebアプリケーションの作り方 (404 Bl…

SamuraiWTF 0.9.5

年末にWebペネトレーションテスト向けのLive CDディストリビューションであるSamurai Web Testing Frameworkがバージョンアップしていたんですね。あとでChangeLogを見てみておくか。

MBA

Mac

IDEOSを持って出かけると、手軽に使えるモバイルマシンが欲しくなります。iPad 2のうわさもちょこちょこ出てきているところですし、悩ましいです。 前からMacBook Airがいいなと思っているので、書いておきます。 MacBook Air 11インチ欲しい!

IDEOS

年末に日本通信からIDEOSが発売されるってことを知って早速買ってみました。初Androidなので、よくわからないこと多いですが、いろいろいじってみようと思います。

BackTrack 4 R2

BackTrack 4 R2が出ていますね。まだ全然試せていないので、あとで触るためのメモ。変更点は以下のとおり。 Kernel 2.6.35.8 – *Much* improved mac80211 stack. USB 3.0 support. New wireless cards supported. All wireless Injection patches applied, m…

AVTOKYO meets HackerJapan

AVTokyo 2010開催日の午後にAVTokyoとHacker Japanの共同開催のイベントが予定されています。セッションはCTF関連のものが多く、実際に体験できるコーナーUNLOCKER Village、CTF Villageも併設されます。開催概要は以下の通り。 日程: 2010年 11月 6日(土) …

AVTokyo2010

今年も11月にAV2010が開催されます。今年の会場は、新宿のLOFT PLUS ONEです。 現在、Call For Paperを行っていてスピーカーを募集中です。 日程: 2010年 11月 6日(土) Open 18:00 Start 19:00 End 22:30 (予定) 場所: LOFT /PLUS ONE @新宿 参加費: 200…

PCI DSS 2.0 and PA-DSS 2.0 SUMMARY OF CHANGES - HIGHLIGHTS

この秋に出る予定とされているPCIDSS 2.0とPA-DSS 2.0の変更点のサマリが出ています。 ざっと読んだ限りでは、仮想化について追記されたり、運用やビジネス要件によってセキュリティ要件に柔軟性を持たせたり、重複している所を整理したりという変更が提案さ…

OWASP Application Security Verification Standard

OWASPからASVS(Application Security Verification Standard)と呼ばれる文書がでていたのを知ったのでメモしておきます。 OWASP ASVSは検査と報告の要件を設定し、4階層にレベル分けしています。ASVSでは以下の項目に対する検査に関する詳細要件を定義してい…

リスク要件リファレンスモデルドキュメント集

内閣官房情報セキュリティセンター(NISC)から「各専門分野情報共有スキームの連携性及び情報交換モデルに関する検討」の成果としてリスク要件リファレンスモデルに関する報告書が出ています。 これら報告書は先月公開されたようですが、私は昨日参加したイ…

Black Hat USA, Defcon

来週からBlack Hat USA 2010とDefcon 18が開催されます。 Defconに参加したのはもう5年も前なんですね。最近は気になるセッションがあれば、Media Archiveをチェックするくらいです。 Nmapは新しいNSE scriptsが追加されるなど機能拡張されたDefcon特別バー…

BLACKOUT

ハッカージャパン7月号を読んで知ったのですが、TTSさんの運営しているBLACKOUTが10年ぶりに復活だそうです。 昔はMacintoshのHackingツールなどが紹介されているHackintoshのサイトだったと思いますが、今はInternet Security関連のサイトになっていますね。

Qualys acquires SSL Labs

ちょっと前の話ですが、以前Public SSL Server Databaseで紹介したSSL LabsがQualysに買収されたそうです。

Netsparker Community Edition

NetsparkerというWebアプリケーション脆弱性スキャナがCommunity Editionという無料版を出したみたいなので、暇があればさわってみようと思いつつ手が出ずに放置になっています。 試用した方がメモを載せていますが、結構おもしろそう。 Webアプリケーション…

チドリ夜桜花見会2010

昨日、夜桜花見会は無事終了しました。まだ5分咲きくらいだったですけどきれいでした。 早速、参加レポートがあがってます。 チームチドリの花見に行ってきました (bogus.jp)

skipfish

Google製のActive Webアプリケーションスキャナ。コマンドラインのスキャナだが、自動的にクロールしてSQLインジェクションやXSSを検知できるそうだ。Cで書かれているから高速だとか、使い方が簡単とかの特徴がある。 手元のCentOSでコンパイルしてみたとこ…

チドリ夜桜花見会2010

今年も花見があるので、早速参加申し込みをしちゃいました。開催概要は以下のとおり。 ○日時:2010/03/31 (水) 第一部:19:00頃 都内某所集合、夜桜見学 第二部:20:00頃 別会場にて宴会(お花見会場の近くを予定)○会費 第一部参加費:無料 第二部参加費:…

SamuraiWTF 0.8

Webペネトレーションテスト向けのLive CDディストリビューションであるSamurai Web Testing Frameworkがバージョンアップしています。サイズがCDサイズから1GBくらい増えています。v0.7からの変更点は以下のCHANGELOGのとおり。 - v0.8 03/05/2010 - Used Ra…

Harden SSL/TLS (Beta)

Windowsのレジストリを変更してSSL/TLSの設定を強化するGUIツール。Windows XPからServer 2008まで対応している。 サーバの方はある程度使う用途が限られるのでいいのですが、クライアントの方だと何が影響するか予想しづらいので、簡単に無効化できなさそう…

SSL Audit (alpha)

G-SECがフリーでリリースしているSSLの暗号強度をチェックするツール。THCSSLCheckなどの他のツールと比べるとチェックできるCipher Suiteが多いのと、サーバサイドで使われているSSLエンジンを判定する機能がついているのが、おもしろい。

Ncrack 0.0.1alpha

2009年のGoogle Summer of Codeで開発が始まったリモートパスワードクラックツール。似たようなツールとしては、THC HydraやMedusaなどがある。SSHやFTPなどネットワーク経由でユーザー認証するサービスで弱いパスワードがついていないかチェックすることが…

Nmap 5.20

Nmap 5.20がリリースされました。5.00から初めての安定版バージョンアップ150以上の改善点があるようです。主な変更点は以下のとおり。 o 30+ new Nmap Scripting Engine scripts o enhanced performance and reduced memory consumption o protocol-specifi…

BackTrack 4 Final Release

Betaがでてからずいぶん経ちましたが、ようやくBackTrack 4 Finalが出ています。ISOイメージとVMwareイメージがダウンロードできるようになっています。

Burp Suite 1.3

Burp Suiteがバージョンアップしました。free editionの追加機能としては、professional editionでversion 1.2以降追加された機能が反映されているようです。 追加された機能は以下の通りです。 New features in Burp Suite free edition include: A new mes…

Seccubus v1.4

脆弱性スキャンの差分レポートを出すツールで、以前はAutoNessusと呼ばれていました。NessusとOpenVASをサポートしています。

OpenVAS 3.0

OpenVASがメジャーバージョンアップしたようです。モジュールアーキテクチャーが変わって、スキャナのコアモジュールが、以前の4つから2つに変わってます。 3.0での変更点は以下のとおり。 A new internal architecture of the modules NVT Meta Information…

fimap v07

Webアプリケーションにローカルもしくはリモートファイルインクルードの脆弱性があるかチェックするツール。Pythonで書かれている。

Security Guidance for Critical Areas of Focus in Cloud Computing V2.1

Cloud Security Alliance(CSA)が安全なクラウド・コンピューティングの実現に向けたガイドラインの第2版をリリースしたようです。 業界団体がクラウド・セキュリティ・ガイドラインの第2版を発表 (Computerworld.jp)

hostmap 0.2

Rubyで書かれたホスト名発見ツール。IPアドレスからホスト名やバーチャルホストを発見するペネトレーションテストの補助ツールといったところでしょうか。

Metasploit Framework 3.3

Metasploit 3.3がリリースされたようです。Metasploit 3.2から約1年ぶりのリリースです。Metasploit 3.3 Release Notes

WinPcap 4.1.1

先日、約2年ぶりの安定版であるversion 4.1が出たみたいですが、インストーラのバグがあったため4.1.1がリリースされました。

Nikto 2.1.0

CGIスキャナであるNiktoがバージョンアップしたようです。Nikto 2.1.0 releaseをみると大幅なコードの書き換えをしたそうです。

Damn Vulnerable Web App (DVWA) 1.0.6

PHPで書かれた脆弱性があるWebアプリケーション。今回のバージョンアップはバグフィックスが中心のようです。 Whats new? Mainly bug fixes and some tweaks here and there. なお、DVWA 1.0.6はSamuraiWTF 0.8に組み込まれる予定だそうです。

AVTokyo 2009

スピーカーが公開されたようです。おなじみな方から、あまり講演を聴けないような人までいらっしゃいますね。 http://ja.avtokyo.org/avtokyo2009/speakers

24756個のウイルス情報を追加しました。

あるマシンでKingsoft Internet Security U SP1を使っているのですが、このソフトは一日数回自動でウイルスパターンアップデートが行われ、広告情報とともに「○○個のウイルス情報を追加しました。」というアップデート情報が表示されます。 通常、○○個という…

Damn Vulnerable Web App (DVWA) 1.0.5

PHPで書かれた脆弱性があるWebアプリケーション。Change Logには次のように書かれている。 Complete re-code. Complete re-design. CSRF vulnerability. Stored XSS vulnerability. Full Path Disclosure vulnerability. Login page. Sessions. Many bug fix…

Nping 0.1BETA2

Npingはオープンソースのパケットジェネレータ、pingユーティリティです。今年のGoogle Summer of Codeプロジェクトの1つとして、開発がスタートしたようです。 hping2、fping、arpingなどいろいろなping実装の主要機能をサポートする予定だそうで、現在ソ…