2006-11-01から1ヶ月間の記事一覧

Security Update 2006-007

AirMac、ATS、CFNetwork、ClamAV、Finder、ftpd、gnuzip、Installer、OpenSSL、perl、PHP、PPP、Samba、Security Framework、VPN、WebKitのコンポーネントの脆弱性を修正するアップデート。 メディアによって脆弱性の件数が違うのは、コンポーネントの数でカ…

pacsec.jpとかTokyo InterSec関係

昨日から両カンファレンスとも始まっているみたいですが、いくつかレポートが出ているのでメモ。伝え聞いたところによると、Tokyo InterSecではBackTrackの話が面白かったらしい。 非公式パッチの作者が語る「WMF脆弱性」の脅威 (Internet Watch) pacsec.jp:…

VAOST v0.2

にわか鯖管の苦悩日記より。Vulnerability Analysis and Operational Security Testing(VAOST)に関する方法論をまとめたドキュメント。チェックリストがたくさん含まれているので、参考になりそう。

nUbuntu 6.10

Ubuntu 6.10ベースのnUbuntuがリリースされてます。

NmapView 0.3

Windows用Nmapフロントエンドで、動作させるのに.NET Framework 2.0が必要。v0.3からNmap Scripting Engine(NSE)にも対応しています。 本家のサイトにはNSEのドキュメントも公開されています。 http://insecure.org/nmap/nse/

企業会計審議会内部統制部会の公開草案の公表について

財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)が公開されています。第14回会合時に公表された資料に表記の微調整が入ったらしいですが、つきあわせてみないと…。 【速報】日本版SOX法「実施基準案」がついに正式公表、意見募集後の1月…

日本版SOX法実施基準案

ついに公開されたJ-SOX「実施基準案」の中身とは(前編) ついに公開されたJ-SOX「実施基準案」の中身とは(後編)

Web Application Security Professionals Survey (Nov)

まっちゃだいふくの日記★とれんどふりーく★より。Webアプリケーションの脆弱性検査ではあまり商用スキャナ製品は使われていないって調査結果。意外だな。 "73% of those performing web application vulnerability assessments are not using or rarely usin…

Windows PowerShell 1.0

スクリプトをゴリゴリ書くような人じゃなくても、高機能なシェルとして便利かも。 マイクロソフト、「Windows PowerShell」v1.0を公開 (Slashdot.jp)

The Mac OS X Threat Landscape

MacOS Xに関する脅威についてまとめたDeepSightのレポートが公開されているようです。 Mac OS Xのセキュリティ問題を概説――Symantec報告書 (ITmedia)

日本版SOX法実施基準案関係

日本版SOX法の「実施基準案」、こりゃITサービス会社は大変だぞ! (ITPro) 日本版SOX法「実施基準案」に疑問符、アビームが指摘 (@IT)

APSB06-18 Adobe Flash PlayerのHTTPヘッダーにおける脆弱性

Adobe Flash Player 9.x, 8.x, and 7.xにHTTPヘッダーにおける脆弱性があり、最新バージョンである9.0.28.0にアップグレードすることを推奨しています。 Flash Playerのバージョン9.0.20.0以前に脆弱性、修正済みの最新版が公開 (Internet Watch)

Web Services Security Testing Framework

オーストラリアのSIFTがまとめたWebサービス*1に対するセキュリティテストのフレームワーク。PDFで100ページを超えるドキュメントになっている。 SIFT Leads the Way on Web Services Security Testing (SIFT) *1:いわゆるXML Webサービス

Cain & Abel v3.8

v3.3からの変更点 Added Ophcrack's RainbowTables support for NTLM Hashes Cryptanalysis attack. MSCACHE Hashes Cryptanalysis via Sorted Rainbow Tables. ORACLE Hashes Cryptanalysis via Sorted Rainbow Tables. New RainbowTable types have been a…

2006 年 11 月のセキュリティ情報

6件(緊急 5 件、重要 1 件)の脆弱性情報が出ています。 ===緊急=== MS06-067 : Internet Explorer 用の累積的なセキュリティ更新プログラム (922760) MS06-068 : Microsoft エージェントの脆弱性により、リモートでコードが実行される (920213) MS06-069 : A…

Process Monitor

レジストリ監視ツール「Regmon」とファイル監視ツール「Filemon」を統合したツールらしい。 “Sysinternals”のサイトが“Microsoft TechNet”へ統合、新作ツールも公開 (窓の杜) カーネル研究者謹製のマルウェア監視ユーティリティ、MSがリリース (ITmedia)

Penetration Testing Framework 0.23

Pre-site InspectionとPenetration Testが分離されたみたいです。

メモ

ITセキュリティのアライ出し 第15回 Windowsにおけるバッファオーバーフロー(1) (MYCOM) Hacking Web 2.0 Applications with Firefox (SecurityFocus)

データベースセキュリティガイドライン第1.0版

データベース・セキュリティ・コンソーシアム(DBSC)がデータベースセキュリティについての指針、考え方をまとめたガイドラインを公開しています。 業界団体がDBセキュリティのガイドラインを公開,「国内初,ビジネス利用も可」 (ITPro)

Wizard Bible vol.29

○第1章:マニアックJavaプログラミング第五回: 〜 ぬるま湯Java 〜 金床 著 ○第2章:mixiにアカウント乗っ取り可能な脆弱性 金床 著 ○第3章:Black Hat Japan 2006 レポート 金床 著 ○第4章:暗号プログラミング 〜前編〜 Kenji Aiko 著 ○第5章:基礎暗号学…

日本版SOX法「実施基準案」がついに登場、IT統制に関して例示

ITProより。日本版SOX法の実施基準案が一般公開されたのかと思ったら、まだなのか。まあ、いろんなメディアで取り上げられているので、だいぶ中身が明らかになってきましたけど。 実施基準案 (11月6日内部統制部会) (まるちゃんの情報セキュリティ気まぐれ…

今夜分かるSQLインジェクション対策

@ITより。セカンドオーダーSQLインジェクションやマルチバイト文字を利用したSQLインジェクションの攻撃パターンを中心に書かれている。 そういえば、セカンドオーダーSQLインジェクションについては日経システム構築(現:日経システム)2005年12月号のP.30…

Fuzzers - The ultimate list

Jack Koziol氏がまとめたFuzzerのリスト。これらを使って穴探しをやったことはないですが、メモ。

PacSecカンファレンス 2006

Tokyo InterSecと同じタイミングで開催。今から申し込むと120,000円。 ○期間:2006年11月29日(水)〜30日(木) ○会場:青山ダイアモンドホール(東京)

Tokyo InterSec 2006

今年は無料だそうで、暇があれば行って見たい。 ○期間:2006年11月29日(水)〜30日(木) 10:00〜17:00 ○会場:経団連会館 国際会議場(ゴールデン・ルーム)

Network Security Forum 2006

JNSA主催のセキュリティカンファレンス。無料。 ○期間:2006年11月13日(月)〜14日(火) 10:00〜17:00 ○会場:ベルサール神田

安全なウェブサイトの作り方 改訂第2版

IPAが作成した「安全なウェブサイトの作り方」が改定されたそうです。 今回の改訂第2版では、各脆弱性について、より理解を深めていただくために、攻撃により発生しうる脅威と、注意が必要なウェブサイトの特徴に関する情報を追記しました。また、ウェブア…

Wireshark 0.99.4

今回のバージョンアップはWireshark Multiple Denial of Service Vulnerabilitiesでの指摘を受けてHTTP, LDAP, XOT, WBXML, MIME Multipartディセクタセキュリティホールの修正が行われています(wnpa-sa-2006-03)。(リリースノート)

Rainbow Crack関係

あんまりRainbow Crack関係はメモしてなかったし、ツールがアップデートされているようなのでメモ。 ophcrack v2.3.3, ophcrack LiveCD v1.1.3 Cain & Abel v3.3 FreeでRainbow Tableがダウンロードできるところがあるけど、40GBというサイズを見るとどうも…

Metasploit Framework 3.0 Beta3

Metasploit 3.0はこれまであまりいじっていなかったので、Windows版を軽くさわってみました。 Beta 3よりWindows版にはコンソールとしてrxvt-2.7.10が入ったらしくWindows標準のコマンドプロンプトと比べ操作性が格段によくなっています。またWeb Interface…