Windowsのレジストリを変更してSSL/TLSの設定を強化するGUIツール。Windows XPからServer 2008まで対応している。 サーバの方はある程度使う用途が限られるのでいいのですが、クライアントの方だと何が影響するか予想しづらいので、簡単に無効化できなさそう…
G-SECがフリーでリリースしているSSLの暗号強度をチェックするツール。THCSSLCheckなどの他のツールと比べるとチェックできるCipher Suiteが多いのと、サーバサイドで使われているSSLエンジンを判定する機能がついているのが、おもしろい。
2009年のGoogle Summer of Codeで開発が始まったリモートパスワードクラックツール。似たようなツールとしては、THC HydraやMedusaなどがある。SSHやFTPなどネットワーク経由でユーザー認証するサービスで弱いパスワードがついていないかチェックすることが…
Nmap 5.20がリリースされました。5.00から初めての安定版バージョンアップ150以上の改善点があるようです。主な変更点は以下のとおり。 o 30+ new Nmap Scripting Engine scripts o enhanced performance and reduced memory consumption o protocol-specifi…
Betaがでてからずいぶん経ちましたが、ようやくBackTrack 4 Finalが出ています。ISOイメージとVMwareイメージがダウンロードできるようになっています。
Burp Suiteがバージョンアップしました。free editionの追加機能としては、professional editionでversion 1.2以降追加された機能が反映されているようです。 追加された機能は以下の通りです。 New features in Burp Suite free edition include: A new mes…
脆弱性スキャンの差分レポートを出すツールで、以前はAutoNessusと呼ばれていました。NessusとOpenVASをサポートしています。
OpenVASがメジャーバージョンアップしたようです。モジュールアーキテクチャーが変わって、スキャナのコアモジュールが、以前の4つから2つに変わってます。 3.0での変更点は以下のとおり。 A new internal architecture of the modules NVT Meta Information…
Webアプリケーションにローカルもしくはリモートファイルインクルードの脆弱性があるかチェックするツール。Pythonで書かれている。
Cloud Security Alliance(CSA)が安全なクラウド・コンピューティングの実現に向けたガイドラインの第2版をリリースしたようです。 業界団体がクラウド・セキュリティ・ガイドラインの第2版を発表 (Computerworld.jp)
Rubyで書かれたホスト名発見ツール。IPアドレスからホスト名やバーチャルホストを発見するペネトレーションテストの補助ツールといったところでしょうか。
Metasploit 3.3がリリースされたようです。Metasploit 3.2から約1年ぶりのリリースです。Metasploit 3.3 Release Notes
先日、約2年ぶりの安定版であるversion 4.1が出たみたいですが、インストーラのバグがあったため4.1.1がリリースされました。
CGIスキャナであるNiktoがバージョンアップしたようです。Nikto 2.1.0 releaseをみると大幅なコードの書き換えをしたそうです。
PHPで書かれた脆弱性があるWebアプリケーション。今回のバージョンアップはバグフィックスが中心のようです。 Whats new? Mainly bug fixes and some tweaks here and there. なお、DVWA 1.0.6はSamuraiWTF 0.8に組み込まれる予定だそうです。
スピーカーが公開されたようです。おなじみな方から、あまり講演を聴けないような人までいらっしゃいますね。 http://ja.avtokyo.org/avtokyo2009/speakers
あるマシンでKingsoft Internet Security U SP1を使っているのですが、このソフトは一日数回自動でウイルスパターンアップデートが行われ、広告情報とともに「○○個のウイルス情報を追加しました。」というアップデート情報が表示されます。 通常、○○個という…
PHPで書かれた脆弱性があるWebアプリケーション。Change Logには次のように書かれている。 Complete re-code. Complete re-design. CSRF vulnerability. Stored XSS vulnerability. Full Path Disclosure vulnerability. Login page. Sessions. Many bug fix…
Npingはオープンソースのパケットジェネレータ、pingユーティリティです。今年のGoogle Summer of Codeプロジェクトの1つとして、開発がスタートしたようです。 hping2、fping、arpingなどいろいろなping実装の主要機能をサポートする予定だそうで、現在ソ…
SHARPが来月リリースするモバイルインターネット端末。5型で1,024×600ドットと高解像度液晶で、インターフェイスは、microSDスロット(microSDHC対応)、USB 2.0×1、mini USB 2.0×1、ヘッドフォン端子、IEEE 802.11b/g無線LAN。バッテリ駆動時間は約10時間。 …
IPSやWAFのテストをしているNSS LabsからWebブラウザのセキュリティテストレポートが出ています。 あとで読むためのメモ。 (8/20 追記) ブラウザのセキュリティはIE 8に軍配、NSS Labsが検証 (ITmedia)
PCI DSSのドキュメントがv1.2.1にマイナー修正されたようです。 PCI DSS Requirements and Security Assessment Procedures (PCI SSC)
Webペネトレーションテスト向けのLive CDディストリビューションであるSamurai Web Testing Frameworkがバージョンアップしています。v0.6からの変更点は以下のCHANGELOGのとおり。 - v0.7 08/01/2009 - Installed Cewl from dijininja.org -- Kevin Johnson…
SSL Labsが公開されているSSLサーバのセキュリティをレイティングするサービスを行っているようです。どのようにレイティングしているかは、SSL Server Rating Guideに記載されています。このGuideのバージョンはv 2009 draft 10となっていますが、よくまと…
ZDNet Japanより。IBMがソースコードスキャナーのOunce Labsを買収したようです。
まだChapter 1 書類ハック!を読み終わったところですが、なかなか参考になります。私は書籍や書類をためてしまう癖があるので、ScanSnapで取り込んでどんどん捨てていくっていうハックが気になります。かなりScanSnapが欲しくなってきました。 あと、SugarS…
Hacker Japan OnlineのLinkに日本セキュリティ情報流通協議会という文字を見つけたので、クリックしてみたら株式会社シスになっていた。
Nmap 5.00がリリースされました。majorバージョンアップなので前のstable release(version 4.76)と比べるとNcatやNdiffなど様々な機能が追加されています。version 4.76がリリースされたのは昨年9月なのでリリースされるのも約1年ぶりです。 詳しいことは以…
OWASP EuropeでWAFを検知するツール(WAFW00F)とWAFの穴を見つけて迂回する(WAFFUN)の2つのツールが発表されたようで、とりあえずWAFW00Fを試してみました。 自分が管理しているさくらのレンタルサーバに向けて実行してみました。 WAFの設定はONなんだけど、N…
