Documents

CERT Oracle Java セキュアコーディングスタンダード

JPCERT/CCでThe CERT Oracle Secure Coding Standard for Javaの日本語版が公開されています。 気を付けるべきポイントごとに悪いコードの例として違反コード、良いコードの例として適合コードが書かれています。

PCI DSS 2.0 and PA-DSS 2.0 SUMMARY OF CHANGES - HIGHLIGHTS

この秋に出る予定とされているPCIDSS 2.0とPA-DSS 2.0の変更点のサマリが出ています。 ざっと読んだ限りでは、仮想化について追記されたり、運用やビジネス要件によってセキュリティ要件に柔軟性を持たせたり、重複している所を整理したりという変更が提案さ…

OWASP Application Security Verification Standard

OWASPからASVS(Application Security Verification Standard)と呼ばれる文書がでていたのを知ったのでメモしておきます。 OWASP ASVSは検査と報告の要件を設定し、4階層にレベル分けしています。ASVSでは以下の項目に対する検査に関する詳細要件を定義してい…

リスク要件リファレンスモデルドキュメント集

内閣官房情報セキュリティセンター(NISC)から「各専門分野情報共有スキームの連携性及び情報交換モデルに関する検討」の成果としてリスク要件リファレンスモデルに関する報告書が出ています。 これら報告書は先月公開されたようですが、私は昨日参加したイ…

Security Guidance for Critical Areas of Focus in Cloud Computing V2.1

Cloud Security Alliance(CSA)が安全なクラウド・コンピューティングの実現に向けたガイドラインの第2版をリリースしたようです。 業界団体がクラウド・セキュリティ・ガイドラインの第2版を発表 (Computerworld.jp)

Browser Security Testing

IPSやWAFのテストをしているNSS LabsからWebブラウザのセキュリティテストレポートが出ています。 あとで読むためのメモ。 (8/20 追記) ブラウザのセキュリティはIE 8に軍配、NSS Labsが検証 (ITmedia)

2008年情報セキュリティインシデントに関する調査報告書

JNSA セキュリティ被害調査ワーキンググループによって作成された2008年の個人情報漏えいインシデントを調査分析した報告書。後でじっくり読もう。

セキュアデザインパターン

JPCERT/CCが5月に公開されたソフトウエア設計工程における脆弱性低減対策 「セキュアデザインパターン」(英語版)を日本語化したドキュメントが公開されました。 qmailやpostfix、OpenSSHなどの実装を参考にしながら、どのように設計・実装すべきか書かれて…

Wizard Bible vol.46

○第1章: Black Hat Europe 2009 レポート 金床 著 ○第2章: Keep-Aliveを最適化する 金床 著 ○第3章: 健全?ギャンブルのススメ 理事長 著 ○第4章: 基礎暗号学講座・第21回 〜Rabin暗号の拡張〜 IPUSIRON 著 私もアムステルダムに行ってみたい・・・。

平成20年度情報セキュリティ市場調査報告書

2009年度は製品もサービスも景気悪化の影響をもろに受ける感じっぽいですね。 平成20年度情報セキュリティ市場調査報告書の公表について(経済産業省)

Ncat Users' Guide

netcatの派生版としてThe GNU Netcatやsocatなどがありますが、それらの派生版にもないようなSSLのサポートやProxy接続などの機能を追加したものがNcatです。 Ncatは最近のNmap develperment releaseのバイナリパッケージには標準で入っていて*1、次のstable…

OWASP Testing Guide V3.0

OWASPによるWebアプリケーションテストガイドのv3.0がリリースされてます。v2.0からの変更として、サブカテゴリが8から10に増えています。 OWASP Testing Project (OWASP)

Browser Security Handbook

Googleによるブラウザのセキュリティ機能や特性をまとめたもの。 Googleブラウザセキュリティ文書公開 - すべてのWebアプリ開発者へ (マイコミジャーナル)

Wizard Bible vol.37

○第1章: Black Hat Japan 2007 レポート 金床 著 ○第2章: Black Hat Japan 2007 レポート eagle0wl 著 ○第3章: 64ビット環境でのリバースエンジニアリング Kenji Aiko 著 ○第4章: Windowsシステムプログラミング Part3 〜SYSENTERとSYSEXIT〜 Kenji Aiko 著 …

「Forbidden」「サンプル」をセキュリティ的に翻訳せよ

@ITより。セキュリティ対策の「ある視点」第3回。 Page2の上から7行目あたりの例にある"UserDir disable"は"UserDir disabled"が正しいのかな。 ちなみにIPAのセキュアなWebサーバーの構築と運用やCIS Benchmark for the Apache Web Serverではmod_userdirを…

Wizard Bible vol.36

○第1章: マニアックJavaプログラミング第7回: 〜Javaクラッキング〜 金床 著 ○第2章: Windowsシステムプログラミング 番外編 〜Java〜 Kenji Aiko 著 ○第3章: Windowsシステムプログラミング Part2 〜デバッグ〜 Kenji Aiko 著 ○第4章: リバースエンジニアリ…

(IN)SECURE Magazine Issue 13

ちょっと気になったので、PCI DSS complianceのところだけ読んでみたけど、知っていることばかりだった。 - Interview with Janne Uusilehto, Head of Nokia Product Security - Social engineering social networking services: a LinkedIn example - The c…

Wizard Bible vol.35

○第1章: マニアックJavaプログラミング第6回: 〜 Javaでメタプログラミング 〜 金床 著 ○第2章: Windowsシステムプログラミング Part1 〜イントロダクション〜 Kenji Aiko 著 ○第3章: Quick Beのメモリーリーク修正&Vista対応パッチの作成 Will 著 ○第4章: …

たった2行でできるWebサーバ防御の「心理戦」

@ITより、バナー情報隠蔽に関する記事。記事の中ではいわゆる根本的対策*1をした上で、保険的対策*2としてバナー隠蔽をした方がよいとしている。 今や常識的な話だと思えるのだが、バージョン隠蔽に関しては昔から議論が分かれることがある。この記事に関し…

知っていますか?脆弱性 (ぜいじゃくせい)

IPAがウェブサイトの脆弱性を分かりやすく解説するコンテンツを公開しています。

Wizard Bible vol.34

○第1章: XHRのリバースエンジニアリング 金床 著 ○第2章: チームチドリのチャレンジCTF2007! 〜超速報版〜 tessy 著 ○第3章: はじめてのハッキング 〜ハードウェアの基礎〜 Defolos 著 ○第4章: デフラグさんの作り方 Kains 著 ○第5章: ハニーポットを作ろう…

Wizard Bible vol.33

○第1章:DNSを使った攻撃 金床 著 ○第2章:「リバースエンジニアリングまつり」レポート eagle0wl 著 ○第3章:UnhandledExceptionFilter()を使ったアンチデバッギング手法 sourcerian 著 ○第4章:基礎暗号学講座 〜 第9回 〜 IPUSIRON 著 金床のAnti-DNS Pin…

システム管理基準 追補版(財務報告に係るIT統制ガイダンス)

1月に公開されたシステム管理基準 追補版(案)に対するパブリックコメントを反映させたものが公開されています。

Security of WebAppli&Mail

Web アプリケーションで利用されている各種メール送信用モジュールの安全な使い方について記したドキュメント。この視点で書かれたドキュメントっていままで見たことないな。 そういえば、HTTPヘッダインジェクションの概要と対策について書かれたドキュメン…

2006年度 脆弱性定量化に向けての検討報告書

JNSA 脆弱性定量化に向けての検討WGの2006年度ワーキンググループ活動の報告書が出ています。 トリアージ値ってものをはじめて知りました。

hackin9 Consumers test Security Scanners

8つのセキュリティスキャナの機能や優位性などについて調査したドキュメント。調査対象のセキュリティスキャナは以下のとおり。 Safety-Lab Shadow Security Scanner eEye Retina Nessus Vulnerability Scanner GFI LANguard Network Security Scanner Nmap …

OWASP Testing Guide v2

OWASPからTesting Guide v2がリリースされています。

NISTセキュリティガイドライン

NISTが電子メールセキュリティの新版、不正侵入検知/防止システム、無線LAN構築のガイドラインを出したそうです。 SP 800-45 Version 2 Guidelines on Electronic Mail Security SP 800-94 Guide to Intrusion Detection and Prevention Systems (IDPS) SP 8…

Wizard Bible vol.31

○第1章:FLASHプレーヤーの改造 金床 著 ○第2章:はじめてのハッキング 〜プログラミングの基礎〜 Defolos 著 ○第3章:ハニーポットを作ろう(連載第11回) Narusase 著 ○第4章:OpenGLを利用した3次元プログラミング入門(前編) Kenji Aiko 著 ○第5章:Ope…

システム管理基準 追補版(財務報告に係るIT統制ガイダンス)(案)

経済産業省からJ-SOXのためのシステム管理基準の補足資料が出ると聞いていたんですが、思ったより早く公開されました。まだ案なので、2月19日までパブリックコメントを受け付けているみたいです。 計150ページくらいでかなり具体的なことが書かれた資料にな…