Documents

COBIT for SOX 2nd Edition 日本語版

米SOX法に必要とされるIT統制のガイドラインであるCOBIT for SOX 2nd Editionの日本語版が公開されています。2006年12月に公開予定と聞いていたんですが、1月1日に公開されたみたいです。 「COBIT for SOX 2nd Edition」の日本語版がダウンロード可能に (ITP…

Windows管理者必携、Sysinternalsでシステムを把握する

@ITより。Sysinternalsツールの紹介記事。たまに使おうとすると、ツールの名前がわからなかったりするので、Sysinternals全ツールの概要が書かれていて便利。

Wizard Bible vol.30

○第1章:美咲ちゃんの幻の14章はどうして本当に幻になってしまったのか やねうらお 著 ○第2章:TRUMAN解説 tessy 著 ○第3章:死のダイアログ 金床 著 ○第4章:PEditorの改造 Will 著 ○第5章:見えないファイル、消せないファイル? 〜代替データストリーム〜…

VAOST v0.2

にわか鯖管の苦悩日記より。Vulnerability Analysis and Operational Security Testing(VAOST)に関する方法論をまとめたドキュメント。チェックリストがたくさん含まれているので、参考になりそう。

企業会計審議会内部統制部会の公開草案の公表について

財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)が公開されています。第14回会合時に公表された資料に表記の微調整が入ったらしいですが、つきあわせてみないと…。 【速報】日本版SOX法「実施基準案」がついに正式公表、意見募集後の1月…

Web Application Security Professionals Survey (Nov)

まっちゃだいふくの日記★とれんどふりーく★より。Webアプリケーションの脆弱性検査ではあまり商用スキャナ製品は使われていないって調査結果。意外だな。 "73% of those performing web application vulnerability assessments are not using or rarely usin…

The Mac OS X Threat Landscape

MacOS Xに関する脅威についてまとめたDeepSightのレポートが公開されているようです。 Mac OS Xのセキュリティ問題を概説――Symantec報告書 (ITmedia)

Web Services Security Testing Framework

オーストラリアのSIFTがまとめたWebサービス*1に対するセキュリティテストのフレームワーク。PDFで100ページを超えるドキュメントになっている。 SIFT Leads the Way on Web Services Security Testing (SIFT) *1:いわゆるXML Webサービス

Penetration Testing Framework 0.23

Pre-site InspectionとPenetration Testが分離されたみたいです。

メモ

ITセキュリティのアライ出し 第15回 Windowsにおけるバッファオーバーフロー(1) (MYCOM) Hacking Web 2.0 Applications with Firefox (SecurityFocus)

データベースセキュリティガイドライン第1.0版

データベース・セキュリティ・コンソーシアム(DBSC)がデータベースセキュリティについての指針、考え方をまとめたガイドラインを公開しています。 業界団体がDBセキュリティのガイドラインを公開,「国内初,ビジネス利用も可」 (ITPro)

Wizard Bible vol.29

○第1章:マニアックJavaプログラミング第五回: 〜 ぬるま湯Java 〜 金床 著 ○第2章:mixiにアカウント乗っ取り可能な脆弱性 金床 著 ○第3章:Black Hat Japan 2006 レポート 金床 著 ○第4章:暗号プログラミング 〜前編〜 Kenji Aiko 著 ○第5章:基礎暗号学…

今夜分かるSQLインジェクション対策

@ITより。セカンドオーダーSQLインジェクションやマルチバイト文字を利用したSQLインジェクションの攻撃パターンを中心に書かれている。 そういえば、セカンドオーダーSQLインジェクションについては日経システム構築(現:日経システム)2005年12月号のP.30…

安全なウェブサイトの作り方 改訂第2版

IPAが作成した「安全なウェブサイトの作り方」が改定されたそうです。 今回の改訂第2版では、各脆弱性について、より理解を深めていただくために、攻撃により発生しうる脅威と、注意が必要なウェブサイトの特徴に関する情報を追記しました。また、ウェブア…

LACさんのレポート

メモし忘れていたので・・・ コンピュータセキュリティ研究所動向調査報告書 2006上半期版 (LAC) セキュアDBマトリクス (LAC) JSOC 侵入傾向分析レポート Vol.7 (LAC)

Analyzing malicious SSH login attempts

SSH MLより。SSH サーバに対して、辞書を用いてユーザ名とパスワードを総当り的に試してログインを試みる攻撃が流行りだしてしばらく経ちますが、honeypotを使ったSSHログイン攻撃に対する分析レポートが出ています。

IPAのセミナーにはいけなさそうだけど、講演資料が公開されているので見ておく。 (IN)SECURE Magazine ISSUE 1.8 (September 2006) 情報セキュリティセミナー2006開催のご案内 (IPA)

Wizard Bible vol.28

○第1章:マニアックJavaプログラミング第四回 金床 著 ○第2章:ニューラルネットワーク 単一ニューロンの学習 Defolos 著 ○第3章:Windows File Protection Hacking Kenji Aiko 著 ○第4章:基礎暗号学講座 〜 第3回 〜 IPUSIRON 著

ボットネット概要 (PDF)

JPCERT/CCとインターネットセキュリティシステムズ、トレンドマイクロ、ラックが協力して作成したボットネットの概要についての報告書。 "ボットネット概要"発表 - ISS高橋氏・ラック新井氏がボットを語る (MYCOMジャーナル)

Uninformed Magazine Volume 4

Uniformedというオンラインマガジンがあるみたいです。 Uninformed is a technical outlet for research in areas pertaining to security technologies, reverse engineering, and lowlevel programming. VOL 4の内容はこんな感じ。 o Improving Automated …

TCP/IPに係る既知の脆弱性に関する調査

IPAがTCP/IPの既知の脆弱性情報をまとめた調査報告書を公開しています。19種類の問題についてそれぞれ詳しく解説されています。 IPA、TCP/IPの既知の脆弱性情報をまとめた解説書を公開 (Internet Watch) >

Cookie Monster襲来! 戦え、星野君

@ITより。星野君のWebアプリほのぼの改造計画 第6回。今更ながら読みましたが、Cookieの取り扱いは慎重にしないといけないんですね。

SQL Injection攻撃の脅威と対策について[PDF]

@Policeより。まだちゃんと読んでいないですが、SQL Injection攻撃とその対策について詳細に書かれていて参考になります。 >

“攻めのSOX法対応”を実現するためには?

@ITより。IT担当者のための内部統制ガイド 1回目。 最近「見える化」というキーワードをよく見かけますが、どんな会社でも業務プロセスの文書化がされていなかったり、業務が属人化していたりってのはよくあることですから、日本版SOX法をきっかけに取り組む…

情報セキュリティ白書 2006 年版 (IPA) 安全なWeb アプリケーション構築の手引き(OWASPGuideV1.1.1)

資料公開のお知らせ〜第5回セキュそば勉強会

第5回セキュそば勉強会でのtessyさんとyoggyさんの発表資料が公開されています。 sandnet (tessy) anti-debugging (yoggy)

The unfiltered UDP port detection techniques

PTRSより。パケットフィルタリングに保護されているUDPポート(Filtered UDP port)と、保護されていないUDPポート(Unfiltered UDP port)の識別をIPオプションを使って判別するスキャンテクニックが2種類記載されています。 Loose Source and Record Route…

Wizard Bible vol.24

○第1章:SQLエラーによるデータ盗掘 金床 著 ○第2章:C# Programming 0x2 〜Making Packer〜 Will 著 ○第3章:初級解析講座(一風変わった登録方法 .NET版) 右サイド 著 ○第4章:割り込みプログラム [後編] Defolos 著 ○第5章:ハニーポットを作ろう(連載…

ユーザー名と同じ安易なパスワードを撲滅せよ!

@ITより。ツールを使ってネットワーク管理 第6回。 John the Ripperの使い方についての解説です。

いろいろ

侵入傾向分析レポート Vol.5 (LAC) Malicious Malware: attacking the attackers, part 1 (SecurityFocus) Malicious Malware: attacking the attackers, part 2 (SecurityFocus)