2006-11-01から1ヶ月間の記事一覧
AirMac、ATS、CFNetwork、ClamAV、Finder、ftpd、gnuzip、Installer、OpenSSL、perl、PHP、PPP、Samba、Security Framework、VPN、WebKitのコンポーネントの脆弱性を修正するアップデート。 メディアによって脆弱性の件数が違うのは、コンポーネントの数でカ…
昨日から両カンファレンスとも始まっているみたいですが、いくつかレポートが出ているのでメモ。伝え聞いたところによると、Tokyo InterSecではBackTrackの話が面白かったらしい。 非公式パッチの作者が語る「WMF脆弱性」の脅威 (Internet Watch) pacsec.jp:…
にわか鯖管の苦悩日記より。Vulnerability Analysis and Operational Security Testing(VAOST)に関する方法論をまとめたドキュメント。チェックリストがたくさん含まれているので、参考になりそう。
Ubuntu 6.10ベースのnUbuntuがリリースされてます。
Windows用Nmapフロントエンドで、動作させるのに.NET Framework 2.0が必要。v0.3からNmap Scripting Engine(NSE)にも対応しています。 本家のサイトにはNSEのドキュメントも公開されています。 http://insecure.org/nmap/nse/
財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)が公開されています。第14回会合時に公表された資料に表記の微調整が入ったらしいですが、つきあわせてみないと…。 【速報】日本版SOX法「実施基準案」がついに正式公表、意見募集後の1月…
ついに公開されたJ-SOX「実施基準案」の中身とは(前編) ついに公開されたJ-SOX「実施基準案」の中身とは(後編)
まっちゃだいふくの日記★とれんどふりーく★より。Webアプリケーションの脆弱性検査ではあまり商用スキャナ製品は使われていないって調査結果。意外だな。 "73% of those performing web application vulnerability assessments are not using or rarely usin…
スクリプトをゴリゴリ書くような人じゃなくても、高機能なシェルとして便利かも。 マイクロソフト、「Windows PowerShell」v1.0を公開 (Slashdot.jp)
MacOS Xに関する脅威についてまとめたDeepSightのレポートが公開されているようです。 Mac OS Xのセキュリティ問題を概説――Symantec報告書 (ITmedia)
日本版SOX法の「実施基準案」、こりゃITサービス会社は大変だぞ! (ITPro) 日本版SOX法「実施基準案」に疑問符、アビームが指摘 (@IT)
Adobe Flash Player 9.x, 8.x, and 7.xにHTTPヘッダーにおける脆弱性があり、最新バージョンである9.0.28.0にアップグレードすることを推奨しています。 Flash Playerのバージョン9.0.20.0以前に脆弱性、修正済みの最新版が公開 (Internet Watch)
オーストラリアのSIFTがまとめたWebサービス*1に対するセキュリティテストのフレームワーク。PDFで100ページを超えるドキュメントになっている。 SIFT Leads the Way on Web Services Security Testing (SIFT) *1:いわゆるXML Webサービス
v3.3からの変更点 Added Ophcrack's RainbowTables support for NTLM Hashes Cryptanalysis attack. MSCACHE Hashes Cryptanalysis via Sorted Rainbow Tables. ORACLE Hashes Cryptanalysis via Sorted Rainbow Tables. New RainbowTable types have been a…
6件(緊急 5 件、重要 1 件)の脆弱性情報が出ています。 ===緊急=== MS06-067 : Internet Explorer 用の累積的なセキュリティ更新プログラム (922760) MS06-068 : Microsoft エージェントの脆弱性により、リモートでコードが実行される (920213) MS06-069 : A…
レジストリ監視ツール「Regmon」とファイル監視ツール「Filemon」を統合したツールらしい。 “Sysinternals”のサイトが“Microsoft TechNet”へ統合、新作ツールも公開 (窓の杜) カーネル研究者謹製のマルウェア監視ユーティリティ、MSがリリース (ITmedia)
Pre-site InspectionとPenetration Testが分離されたみたいです。
ITセキュリティのアライ出し 第15回 Windowsにおけるバッファオーバーフロー(1) (MYCOM) Hacking Web 2.0 Applications with Firefox (SecurityFocus)
データベース・セキュリティ・コンソーシアム(DBSC)がデータベースセキュリティについての指針、考え方をまとめたガイドラインを公開しています。 業界団体がDBセキュリティのガイドラインを公開,「国内初,ビジネス利用も可」 (ITPro)
○第1章:マニアックJavaプログラミング第五回: 〜 ぬるま湯Java 〜 金床 著 ○第2章:mixiにアカウント乗っ取り可能な脆弱性 金床 著 ○第3章:Black Hat Japan 2006 レポート 金床 著 ○第4章:暗号プログラミング 〜前編〜 Kenji Aiko 著 ○第5章:基礎暗号学…
ITProより。日本版SOX法の実施基準案が一般公開されたのかと思ったら、まだなのか。まあ、いろんなメディアで取り上げられているので、だいぶ中身が明らかになってきましたけど。 実施基準案 (11月6日内部統制部会) (まるちゃんの情報セキュリティ気まぐれ…
@ITより。セカンドオーダーSQLインジェクションやマルチバイト文字を利用したSQLインジェクションの攻撃パターンを中心に書かれている。 そういえば、セカンドオーダーSQLインジェクションについては日経システム構築(現:日経システム)2005年12月号のP.30…
Jack Koziol氏がまとめたFuzzerのリスト。これらを使って穴探しをやったことはないですが、メモ。
Tokyo InterSecと同じタイミングで開催。今から申し込むと120,000円。 ○期間:2006年11月29日(水)〜30日(木) ○会場:青山ダイアモンドホール(東京)
今年は無料だそうで、暇があれば行って見たい。 ○期間:2006年11月29日(水)〜30日(木) 10:00〜17:00 ○会場:経団連会館 国際会議場(ゴールデン・ルーム)
JNSA主催のセキュリティカンファレンス。無料。 ○期間:2006年11月13日(月)〜14日(火) 10:00〜17:00 ○会場:ベルサール神田
IPAが作成した「安全なウェブサイトの作り方」が改定されたそうです。 今回の改訂第2版では、各脆弱性について、より理解を深めていただくために、攻撃により発生しうる脅威と、注意が必要なウェブサイトの特徴に関する情報を追記しました。また、ウェブア…
今回のバージョンアップはWireshark Multiple Denial of Service Vulnerabilitiesでの指摘を受けてHTTP, LDAP, XOT, WBXML, MIME Multipartディセクタセキュリティホールの修正が行われています(wnpa-sa-2006-03)。(リリースノート)
あんまりRainbow Crack関係はメモしてなかったし、ツールがアップデートされているようなのでメモ。 ophcrack v2.3.3, ophcrack LiveCD v1.1.3 Cain & Abel v3.3 FreeでRainbow Tableがダウンロードできるところがあるけど、40GBというサイズを見るとどうも…
Metasploit 3.0はこれまであまりいじっていなかったので、Windows版を軽くさわってみました。 Beta 3よりWindows版にはコンソールとしてrxvt-2.7.10が入ったらしくWindows標準のコマンドプロンプトと比べ操作性が格段によくなっています。またWeb Interface…