読者です 読者をやめる 読者になる 読者になる

Documents

CERT Oracle Java セキュアコーディングスタンダード

JPCERT/CCでThe CERT Oracle Secure Coding Standard for Javaの日本語版が公開されています。 気を付けるべきポイントごとに悪いコードの例として違反コード、良いコードの例として適合コードが書かれています。

PCI DSS 2.0 and PA-DSS 2.0 SUMMARY OF CHANGES - HIGHLIGHTS

この秋に出る予定とされているPCIDSS 2.0とPA-DSS 2.0の変更点のサマリが出ています。 ざっと読んだ限りでは、仮想化について追記されたり、運用やビジネス要件によってセキュリティ要件に柔軟性を持たせたり、重複している所を整理したりという変更が提案さ…

OWASP Application Security Verification Standard

OWASPからASVS(Application Security Verification Standard)と呼ばれる文書がでていたのを知ったのでメモしておきます。 OWASP ASVSは検査と報告の要件を設定し、4階層にレベル分けしています。ASVSでは以下の項目に対する検査に関する詳細要件を定義してい…

リスク要件リファレンスモデルドキュメント集

内閣官房情報セキュリティセンター(NISC)から「各専門分野情報共有スキームの連携性及び情報交換モデルに関する検討」の成果としてリスク要件リファレンスモデルに関する報告書が出ています。 これら報告書は先月公開されたようですが、私は昨日参加したイ…

Security Guidance for Critical Areas of Focus in Cloud Computing V2.1

Cloud Security Alliance(CSA)が安全なクラウド・コンピューティングの実現に向けたガイドラインの第2版をリリースしたようです。 業界団体がクラウド・セキュリティ・ガイドラインの第2版を発表 (Computerworld.jp)

Browser Security Testing

IPSやWAFのテストをしているNSS LabsからWebブラウザのセキュリティテストレポートが出ています。 あとで読むためのメモ。 (8/20 追記) ブラウザのセキュリティはIE 8に軍配、NSS Labsが検証 (ITmedia)

2008年情報セキュリティインシデントに関する調査報告書

JNSA セキュリティ被害調査ワーキンググループによって作成された2008年の個人情報漏えいインシデントを調査分析した報告書。後でじっくり読もう。

セキュアデザインパターン

JPCERT/CCが5月に公開されたソフトウエア設計工程における脆弱性低減対策 「セキュアデザインパターン」(英語版)を日本語化したドキュメントが公開されました。 qmailやpostfix、OpenSSHなどの実装を参考にしながら、どのように設計・実装すべきか書かれて…

Wizard Bible vol.46

○第1章: Black Hat Europe 2009 レポート 金床 著 ○第2章: Keep-Aliveを最適化する 金床 著 ○第3章: 健全?ギャンブルのススメ 理事長 著 ○第4章: 基礎暗号学講座・第21回 〜Rabin暗号の拡張〜 IPUSIRON 著 私もアムステルダムに行ってみたい・・・。

平成20年度情報セキュリティ市場調査報告書

2009年度は製品もサービスも景気悪化の影響をもろに受ける感じっぽいですね。 平成20年度情報セキュリティ市場調査報告書の公表について(経済産業省)

Ncat Users' Guide

netcatの派生版としてThe GNU Netcatやsocatなどがありますが、それらの派生版にもないようなSSLのサポートやProxy接続などの機能を追加したものがNcatです。 Ncatは最近のNmap develperment releaseのバイナリパッケージには標準で入っていて*1、次のstable…

OWASP Testing Guide V3.0

OWASPによるWebアプリケーションテストガイドのv3.0がリリースされてます。v2.0からの変更として、サブカテゴリが8から10に増えています。 OWASP Testing Project (OWASP)

Browser Security Handbook

Googleによるブラウザのセキュリティ機能や特性をまとめたもの。 Googleブラウザセキュリティ文書公開 - すべてのWebアプリ開発者へ (マイコミジャーナル)

Wizard Bible vol.37

○第1章: Black Hat Japan 2007 レポート 金床 著 ○第2章: Black Hat Japan 2007 レポート eagle0wl 著 ○第3章: 64ビット環境でのリバースエンジニアリング Kenji Aiko 著 ○第4章: Windowsシステムプログラミング Part3 〜SYSENTERとSYSEXIT〜 Kenji Aiko 著 …

「Forbidden」「サンプル」をセキュリティ的に翻訳せよ

@ITより。セキュリティ対策の「ある視点」第3回。 Page2の上から7行目あたりの例にある"UserDir disable"は"UserDir disabled"が正しいのかな。 ちなみにIPAのセキュアなWebサーバーの構築と運用やCIS Benchmark for the Apache Web Serverではmod_userdirを…

Wizard Bible vol.36

○第1章: マニアックJavaプログラミング第7回: 〜Javaクラッキング〜 金床 著 ○第2章: Windowsシステムプログラミング 番外編 〜Java〜 Kenji Aiko 著 ○第3章: Windowsシステムプログラミング Part2 〜デバッグ〜 Kenji Aiko 著 ○第4章: リバースエンジニアリ…

(IN)SECURE Magazine Issue 13

ちょっと気になったので、PCI DSS complianceのところだけ読んでみたけど、知っていることばかりだった。 - Interview with Janne Uusilehto, Head of Nokia Product Security - Social engineering social networking services: a LinkedIn example - The c…

Wizard Bible vol.35

○第1章: マニアックJavaプログラミング第6回: 〜 Javaでメタプログラミング 〜 金床 著 ○第2章: Windowsシステムプログラミング Part1 〜イントロダクション〜 Kenji Aiko 著 ○第3章: Quick Beのメモリーリーク修正&Vista対応パッチの作成 Will 著 ○第4章: …

たった2行でできるWebサーバ防御の「心理戦」

@ITより、バナー情報隠蔽に関する記事。記事の中ではいわゆる根本的対策*1をした上で、保険的対策*2としてバナー隠蔽をした方がよいとしている。 今や常識的な話だと思えるのだが、バージョン隠蔽に関しては昔から議論が分かれることがある。この記事に関し…

知っていますか?脆弱性 (ぜいじゃくせい)

IPAがウェブサイトの脆弱性を分かりやすく解説するコンテンツを公開しています。

Wizard Bible vol.34

○第1章: XHRのリバースエンジニアリング 金床 著 ○第2章: チームチドリのチャレンジCTF2007! 〜超速報版〜 tessy 著 ○第3章: はじめてのハッキング 〜ハードウェアの基礎〜 Defolos 著 ○第4章: デフラグさんの作り方 Kains 著 ○第5章: ハニーポットを作ろう…

Wizard Bible vol.33

○第1章:DNSを使った攻撃 金床 著 ○第2章:「リバースエンジニアリングまつり」レポート eagle0wl 著 ○第3章:UnhandledExceptionFilter()を使ったアンチデバッギング手法 sourcerian 著 ○第4章:基礎暗号学講座 〜 第9回 〜 IPUSIRON 著 金床のAnti-DNS Pin…

システム管理基準 追補版(財務報告に係るIT統制ガイダンス)

1月に公開されたシステム管理基準 追補版(案)に対するパブリックコメントを反映させたものが公開されています。

Security of WebAppli&Mail

Web アプリケーションで利用されている各種メール送信用モジュールの安全な使い方について記したドキュメント。この視点で書かれたドキュメントっていままで見たことないな。 そういえば、HTTPヘッダインジェクションの概要と対策について書かれたドキュメン…

2006年度 脆弱性定量化に向けての検討報告書

JNSA 脆弱性定量化に向けての検討WGの2006年度ワーキンググループ活動の報告書が出ています。 トリアージ値ってものをはじめて知りました。

hackin9 Consumers test Security Scanners

8つのセキュリティスキャナの機能や優位性などについて調査したドキュメント。調査対象のセキュリティスキャナは以下のとおり。 Safety-Lab Shadow Security Scanner eEye Retina Nessus Vulnerability Scanner GFI LANguard Network Security Scanner Nmap …

OWASP Testing Guide v2

OWASPからTesting Guide v2がリリースされています。

NISTセキュリティガイドライン

NISTが電子メールセキュリティの新版、不正侵入検知/防止システム、無線LAN構築のガイドラインを出したそうです。 SP 800-45 Version 2 Guidelines on Electronic Mail Security SP 800-94 Guide to Intrusion Detection and Prevention Systems (IDPS) SP 8…

Wizard Bible vol.31

○第1章:FLASHプレーヤーの改造 金床 著 ○第2章:はじめてのハッキング 〜プログラミングの基礎〜 Defolos 著 ○第3章:ハニーポットを作ろう(連載第11回) Narusase 著 ○第4章:OpenGLを利用した3次元プログラミング入門(前編) Kenji Aiko 著 ○第5章:Ope…

システム管理基準 追補版(財務報告に係るIT統制ガイダンス)(案)

経済産業省からJ-SOXのためのシステム管理基準の補足資料が出ると聞いていたんですが、思ったより早く公開されました。まだ案なので、2月19日までパブリックコメントを受け付けているみたいです。 計150ページくらいでかなり具体的なことが書かれた資料にな…

COBIT for SOX 2nd Edition 日本語版

米SOX法に必要とされるIT統制のガイドラインであるCOBIT for SOX 2nd Editionの日本語版が公開されています。2006年12月に公開予定と聞いていたんですが、1月1日に公開されたみたいです。 「COBIT for SOX 2nd Edition」の日本語版がダウンロード可能に (ITP…

Windows管理者必携、Sysinternalsでシステムを把握する

@ITより。Sysinternalsツールの紹介記事。たまに使おうとすると、ツールの名前がわからなかったりするので、Sysinternals全ツールの概要が書かれていて便利。

Wizard Bible vol.30

○第1章:美咲ちゃんの幻の14章はどうして本当に幻になってしまったのか やねうらお 著 ○第2章:TRUMAN解説 tessy 著 ○第3章:死のダイアログ 金床 著 ○第4章:PEditorの改造 Will 著 ○第5章:見えないファイル、消せないファイル? 〜代替データストリーム〜…

VAOST v0.2

にわか鯖管の苦悩日記より。Vulnerability Analysis and Operational Security Testing(VAOST)に関する方法論をまとめたドキュメント。チェックリストがたくさん含まれているので、参考になりそう。

企業会計審議会内部統制部会の公開草案の公表について

財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)が公開されています。第14回会合時に公表された資料に表記の微調整が入ったらしいですが、つきあわせてみないと…。 【速報】日本版SOX法「実施基準案」がついに正式公表、意見募集後の1月…

Web Application Security Professionals Survey (Nov)

まっちゃだいふくの日記★とれんどふりーく★より。Webアプリケーションの脆弱性検査ではあまり商用スキャナ製品は使われていないって調査結果。意外だな。 "73% of those performing web application vulnerability assessments are not using or rarely usin…

The Mac OS X Threat Landscape

MacOS Xに関する脅威についてまとめたDeepSightのレポートが公開されているようです。 Mac OS Xのセキュリティ問題を概説――Symantec報告書 (ITmedia)

Web Services Security Testing Framework

オーストラリアのSIFTがまとめたWebサービス*1に対するセキュリティテストのフレームワーク。PDFで100ページを超えるドキュメントになっている。 SIFT Leads the Way on Web Services Security Testing (SIFT) *1:いわゆるXML Webサービス

Penetration Testing Framework 0.23

Pre-site InspectionとPenetration Testが分離されたみたいです。

メモ

ITセキュリティのアライ出し 第15回 Windowsにおけるバッファオーバーフロー(1) (MYCOM) Hacking Web 2.0 Applications with Firefox (SecurityFocus)

データベースセキュリティガイドライン第1.0版

データベース・セキュリティ・コンソーシアム(DBSC)がデータベースセキュリティについての指針、考え方をまとめたガイドラインを公開しています。 業界団体がDBセキュリティのガイドラインを公開,「国内初,ビジネス利用も可」 (ITPro)

Wizard Bible vol.29

○第1章:マニアックJavaプログラミング第五回: 〜 ぬるま湯Java 〜 金床 著 ○第2章:mixiにアカウント乗っ取り可能な脆弱性 金床 著 ○第3章:Black Hat Japan 2006 レポート 金床 著 ○第4章:暗号プログラミング 〜前編〜 Kenji Aiko 著 ○第5章:基礎暗号学…

今夜分かるSQLインジェクション対策

@ITより。セカンドオーダーSQLインジェクションやマルチバイト文字を利用したSQLインジェクションの攻撃パターンを中心に書かれている。 そういえば、セカンドオーダーSQLインジェクションについては日経システム構築(現:日経システム)2005年12月号のP.30…

安全なウェブサイトの作り方 改訂第2版

IPAが作成した「安全なウェブサイトの作り方」が改定されたそうです。 今回の改訂第2版では、各脆弱性について、より理解を深めていただくために、攻撃により発生しうる脅威と、注意が必要なウェブサイトの特徴に関する情報を追記しました。また、ウェブア…

LACさんのレポート

メモし忘れていたので・・・ コンピュータセキュリティ研究所動向調査報告書 2006上半期版 (LAC) セキュアDBマトリクス (LAC) JSOC 侵入傾向分析レポート Vol.7 (LAC)

Analyzing malicious SSH login attempts

SSH MLより。SSH サーバに対して、辞書を用いてユーザ名とパスワードを総当り的に試してログインを試みる攻撃が流行りだしてしばらく経ちますが、honeypotを使ったSSHログイン攻撃に対する分析レポートが出ています。

IPAのセミナーにはいけなさそうだけど、講演資料が公開されているので見ておく。 (IN)SECURE Magazine ISSUE 1.8 (September 2006) 情報セキュリティセミナー2006開催のご案内 (IPA)

Wizard Bible vol.28

○第1章:マニアックJavaプログラミング第四回 金床 著 ○第2章:ニューラルネットワーク 単一ニューロンの学習 Defolos 著 ○第3章:Windows File Protection Hacking Kenji Aiko 著 ○第4章:基礎暗号学講座 〜 第3回 〜 IPUSIRON 著

ボットネット概要 (PDF)

JPCERT/CCとインターネットセキュリティシステムズ、トレンドマイクロ、ラックが協力して作成したボットネットの概要についての報告書。 "ボットネット概要"発表 - ISS高橋氏・ラック新井氏がボットを語る (MYCOMジャーナル)

Uninformed Magazine Volume 4

Uniformedというオンラインマガジンがあるみたいです。 Uninformed is a technical outlet for research in areas pertaining to security technologies, reverse engineering, and lowlevel programming. VOL 4の内容はこんな感じ。 o Improving Automated …