Documents
米SOX法に必要とされるIT統制のガイドラインであるCOBIT for SOX 2nd Editionの日本語版が公開されています。2006年12月に公開予定と聞いていたんですが、1月1日に公開されたみたいです。 「COBIT for SOX 2nd Edition」の日本語版がダウンロード可能に (ITP…
@ITより。Sysinternalsツールの紹介記事。たまに使おうとすると、ツールの名前がわからなかったりするので、Sysinternals全ツールの概要が書かれていて便利。
○第1章:美咲ちゃんの幻の14章はどうして本当に幻になってしまったのか やねうらお 著 ○第2章:TRUMAN解説 tessy 著 ○第3章:死のダイアログ 金床 著 ○第4章:PEditorの改造 Will 著 ○第5章:見えないファイル、消せないファイル? 〜代替データストリーム〜…
にわか鯖管の苦悩日記より。Vulnerability Analysis and Operational Security Testing(VAOST)に関する方法論をまとめたドキュメント。チェックリストがたくさん含まれているので、参考になりそう。
財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)が公開されています。第14回会合時に公表された資料に表記の微調整が入ったらしいですが、つきあわせてみないと…。 【速報】日本版SOX法「実施基準案」がついに正式公表、意見募集後の1月…
まっちゃだいふくの日記★とれんどふりーく★より。Webアプリケーションの脆弱性検査ではあまり商用スキャナ製品は使われていないって調査結果。意外だな。 "73% of those performing web application vulnerability assessments are not using or rarely usin…
MacOS Xに関する脅威についてまとめたDeepSightのレポートが公開されているようです。 Mac OS Xのセキュリティ問題を概説――Symantec報告書 (ITmedia)
オーストラリアのSIFTがまとめたWebサービス*1に対するセキュリティテストのフレームワーク。PDFで100ページを超えるドキュメントになっている。 SIFT Leads the Way on Web Services Security Testing (SIFT) *1:いわゆるXML Webサービス
Pre-site InspectionとPenetration Testが分離されたみたいです。
ITセキュリティのアライ出し 第15回 Windowsにおけるバッファオーバーフロー(1) (MYCOM) Hacking Web 2.0 Applications with Firefox (SecurityFocus)
データベース・セキュリティ・コンソーシアム(DBSC)がデータベースセキュリティについての指針、考え方をまとめたガイドラインを公開しています。 業界団体がDBセキュリティのガイドラインを公開,「国内初,ビジネス利用も可」 (ITPro)
○第1章:マニアックJavaプログラミング第五回: 〜 ぬるま湯Java 〜 金床 著 ○第2章:mixiにアカウント乗っ取り可能な脆弱性 金床 著 ○第3章:Black Hat Japan 2006 レポート 金床 著 ○第4章:暗号プログラミング 〜前編〜 Kenji Aiko 著 ○第5章:基礎暗号学…
@ITより。セカンドオーダーSQLインジェクションやマルチバイト文字を利用したSQLインジェクションの攻撃パターンを中心に書かれている。 そういえば、セカンドオーダーSQLインジェクションについては日経システム構築(現:日経システム)2005年12月号のP.30…
IPAが作成した「安全なウェブサイトの作り方」が改定されたそうです。 今回の改訂第2版では、各脆弱性について、より理解を深めていただくために、攻撃により発生しうる脅威と、注意が必要なウェブサイトの特徴に関する情報を追記しました。また、ウェブア…
メモし忘れていたので・・・ コンピュータセキュリティ研究所動向調査報告書 2006上半期版 (LAC) セキュアDBマトリクス (LAC) JSOC 侵入傾向分析レポート Vol.7 (LAC)
SSH MLより。SSH サーバに対して、辞書を用いてユーザ名とパスワードを総当り的に試してログインを試みる攻撃が流行りだしてしばらく経ちますが、honeypotを使ったSSHログイン攻撃に対する分析レポートが出ています。
IPAのセミナーにはいけなさそうだけど、講演資料が公開されているので見ておく。 (IN)SECURE Magazine ISSUE 1.8 (September 2006) 情報セキュリティセミナー2006開催のご案内 (IPA)
○第1章:マニアックJavaプログラミング第四回 金床 著 ○第2章:ニューラルネットワーク 単一ニューロンの学習 Defolos 著 ○第3章:Windows File Protection Hacking Kenji Aiko 著 ○第4章:基礎暗号学講座 〜 第3回 〜 IPUSIRON 著
JPCERT/CCとインターネットセキュリティシステムズ、トレンドマイクロ、ラックが協力して作成したボットネットの概要についての報告書。 "ボットネット概要"発表 - ISS高橋氏・ラック新井氏がボットを語る (MYCOMジャーナル)
Uniformedというオンラインマガジンがあるみたいです。 Uninformed is a technical outlet for research in areas pertaining to security technologies, reverse engineering, and lowlevel programming. VOL 4の内容はこんな感じ。 o Improving Automated …
IPAがTCP/IPの既知の脆弱性情報をまとめた調査報告書を公開しています。19種類の問題についてそれぞれ詳しく解説されています。 IPA、TCP/IPの既知の脆弱性情報をまとめた解説書を公開 (Internet Watch) >
@ITより。星野君のWebアプリほのぼの改造計画 第6回。今更ながら読みましたが、Cookieの取り扱いは慎重にしないといけないんですね。
@Policeより。まだちゃんと読んでいないですが、SQL Injection攻撃とその対策について詳細に書かれていて参考になります。 >
@ITより。IT担当者のための内部統制ガイド 1回目。 最近「見える化」というキーワードをよく見かけますが、どんな会社でも業務プロセスの文書化がされていなかったり、業務が属人化していたりってのはよくあることですから、日本版SOX法をきっかけに取り組む…
情報セキュリティ白書 2006 年版 (IPA) 安全なWeb アプリケーション構築の手引き(OWASPGuideV1.1.1)
第5回セキュそば勉強会でのtessyさんとyoggyさんの発表資料が公開されています。 sandnet (tessy) anti-debugging (yoggy)
PTRSより。パケットフィルタリングに保護されているUDPポート(Filtered UDP port)と、保護されていないUDPポート(Unfiltered UDP port)の識別をIPオプションを使って判別するスキャンテクニックが2種類記載されています。 Loose Source and Record Route…
○第1章:SQLエラーによるデータ盗掘 金床 著 ○第2章:C# Programming 0x2 〜Making Packer〜 Will 著 ○第3章:初級解析講座(一風変わった登録方法 .NET版) 右サイド 著 ○第4章:割り込みプログラム [後編] Defolos 著 ○第5章:ハニーポットを作ろう(連載…
@ITより。ツールを使ってネットワーク管理 第6回。 John the Ripperの使い方についての解説です。
侵入傾向分析レポート Vol.5 (LAC) Malicious Malware: attacking the attackers, part 1 (SecurityFocus) Malicious Malware: attacking the attackers, part 2 (SecurityFocus)