サクサク読めて、
アプリ限定の機能も多数!
アプリで開く
技術開発部セキュリティユニットの星野です。 前回の「Black HatUSA 2019 / DEF CON 27に参加してきました」では、それぞれのイベントの概要とおすすめの歩き方についてご紹介しました。 今回は、そのうちBlack HatUSA 2019の詳細な内容についてご紹介します。 前回も述べたとおり、Black Hatの中で行われるイベントは主にトレーニング、ブリーフィング、ビジネスホールの3つがあります。その3つのうち、私が参加したトレーニングの内容と、聴講したブリーフィングの一部をご紹介します。 トレーニング内容の紹介 私は、 “Advarsary Tactics: Red Team Ops” という4日間のトレーニングを受講しました。 https://www.blackhat.com/us-19/training/schedule/#adversary-tactics-
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です -はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。はてなグループに投稿された日記データのエクスポートについて -はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記はてなグループ日記のエクスポートデータは2020年2月28
Intel® ProductSecurity Announcements Intel is focused on ensuring thesecurity of our customers computing environments. We are committed to rapidly addressing issues as they arise, and providing recommendations throughsecurity advisories andsecurity announcements.Report a Vulnerability If you have information about asecurity issue or vulnerability with an Intel branded product ortechnology,
Hunting the bestsecurity toolsThere is a wide range ofsecurity tools available forLinux and other platforms. To make them easier to find, we started an extensive review process to gather and document them. Thegoal of thistop 100 is to showcase the bestLinuxsecurity tools. By best there is an implied level of quality, healthy community andgoodgovernance of the project. Requirements for lis
日時:2008-06-28 担当:Defolos 目次 前回までのハッキング方法における問題点 NOPスレッド RETの連発 柔軟性 実際の挿入ベクター生成プログラム 例題 次回の予定 前回までのハッキング方法における問題点 前回まではSEIPの位置や戻りアドレスとして書き換えるべきバッファの先頭アドレスなどをプログラムに表示していた それを基にBOFを使ってSEIFを書き換えた しかし、通常のプログラムはそんな情報を表示してくれない! 厳密な場所を指定するのは現実的ではない → 柔軟性 を持った攻撃手法が現実には必要 バッファ先頭アドレスの指定に柔軟性を持たせる=NOPスレッド SEIPの場所予測に柔軟性を持たせる=RETの連発 NOPスレッド NOP...No Operation 何もしない命令 16進数で0x90 スレッド...ソリ NOPスレッド...NOP命令を立て続けに書き付け
Scaling Dynamic ApplicationSecurity Testing (DAST) Tuesday, January 21, 2025 IntroductionMicrosoft engineering teams use theSecurity Development Lifecycle to ensure our products are built in alignment withMicrosoft’s Secure Future Initiativesecurity principles: Secure by Design, Secure by Default, and Secure Operations. A key component of theSecurity Development Lifecycle issecurity testing
こんにちは。田中(邦)です。 今回は、”The most advanced penetration testing distribution,ever.” なLinuxディストリビューションであるKaliLinuxを使ってウェブサービスの脆弱性をテストしてみます。 VagrantとVirtual Boxのインストール VagrantとVirtualBoxはインストールしてあることが前提です。 インストールしていない方はまずインストールしておいてください。Oracle VM VirtualBox Vagrant ついでにプラグインのvagrant-vbguestも入れておくと便利だと思います。 KaliLinuxのインストール まずはKaliLinuxをインストールしないと始まりません。 こちら↓を参考に日本語版のKaliLinuxをインストールします。 wasabeef/vagr
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?Twitter,GitHub, Qiita などのように root/(username) でユーザーページをルーティングするところが増えてきている. このルーティングを採用し, help などのユーザー名を許可すると, root/help が奪われてしまう. そこで, 登録時に validate で, ある程度排除するのが習わしになっていると思うが, 急に root 直下に置きたいページが増えたときなどに取得されていると悲しいことになる. また, サブドメインを利用するサービスだと,api などをうっかり取られてしまうケースが後を絶
「日和見Android主義」(http://hiyoridroid.wordpress.com/)のミニバージョン+写真を少々。写真はたぶんほとんどがpicplz経由。 あんまり出くわすことのないトラブルかもしれないけれども、「なるほど!」と思ったのでちょっと記事にしてみる。 あるとき、マーケットからでなくapkファイルで某所から落としたアプリを自分の端末にインストールしようとしたところ、apkファイルをタップして出てくる画面の「インストール」ボタンだけどうやっても押せないということがあった。 キャンセルボタンだけは押せるんだが、どうしてもインストールボタンが反応しない。 なんでかと思って調べてみたら、こんな現象、というか仕様があることを知った。 パーミッション「SYSTEM_ALERT_WINDOW」を使うアプリが起動していると、(恐らくセキュリティ上の都合で)apkインストール画面の「
シンボリックリンク攻撃を防ぐための Apache HTTPD モジュールの解説はこちら: Apache HTTPD: mod_allowfileowner https://fumiyas.github.io/apache/mod-allowfileowner.html 背景 ロリポップの共有 Web サービス下のサイト改ざん事件で、 攻撃手法の一つとして 「他ユーザー所有のファイルへのシンボリックリンクを自分のコンテンツディレクトリ下に作り、Apache HTTPD 経由でアクセスする」手順が利用されたらしい。 参考: http://blog.tokumaru.org/2013/09/symlink-attack.html 当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について http://lolipop.jp/info/news/4149/#090
2.本日お話ししたいこと • パスワードの器の要件 • パスワードの中身の要件 • パスワード入力画面の要件 • 認証エラーメッセージの要件 • パスワードの保存方法 2Copyright © 2013 HASH Consulting Corp. 4. SMBCダイレクトはアカウント回復に手間をかけることで対応? 4Copyright © 2013 HASH Consulting Corp. http://www.smbc.co.jp/kojin/otetsuduki/anshou/saihakko/index.html • SMBCはアカウントロック後のアカウント回復を書面あるいは電話とする ことで、オンラインのパスワード攻撃に対策していると考えられる。 • 自動的にアカウント回復するサービスの場合は、パスワードの要件を厳し くすることで、オンラインパスワード試行に対抗した方がよい •
2013/06/11 コース:元祖こってり 「元祖こってり」記事はネットエージェント旧ブログ[netagent-blog.jp]に掲載されていた記事であり、現在ネットエージェントに在籍していないライターの記事も含みます。 6月9日(日) に放映された「ほこ×たて」の「たて」の裏側について 2013年6月9日に放映されました、フジテレビ「ほこ×たて」に関しまして、反響が大きいようですので撮影の裏側をご紹介いたします。 まず、番組コーナー内の冒頭にご紹介いただきました弊社製品「防人」については、弊社がどのような会社なのかを簡単に紹介するということでお見せしましたが、防人はメールによる標的型攻撃を防ぐための製品ですので、その後の対決には一切使用していません。 実際の対決に際して防御側に求められたのは、サービスパックや修正プログラムの全く当てられていないパソコン上で、脆弱性が確実に存在しているサー
Zeek has been a cornerstone of the open-source and cybersecurity communities for decades. Originally developed by Vern Paxson in the 1990s under the name “Bro,” Zeek was designed to provide deep insights intonetwork activity across university and national labnetworks. In 2018, the project was renamed Zeek to reflectits growing role and evolution in the world ofnetworksecurity. Today, Zeek rem
資料8-4 資料Malwareに関する調査研究2007年度Malwareに関する調査研究2007年度LinuxシステムにおけるLinuxシステムにおけるMalwareの脅威に関する調査研究LinuxシステムとMalware Li システムの増加 �Linuxシステムの増加 ¾ Webサーバ等、サーバシステムとしての利用に加え、クラ イアントシステムとしての利用も増加。 イアントシステムとしての利用も増加。 ¾ 数が増えれば攻撃ターゲットとしての旨みが増すため、攻 撃が増える事が予想される。 動作する 実態 �Linuxで動作するMalwareの実態 ¾Windows向けMalwareについては実態調査が行われてい るがLinux向けについては現状調査不十分 るが、Linux向けについては現状調査不十分。 ¾Linux向けのMalwareをターゲットとしたAntiVir
表示中のページから http://ierae.co.jp/uploads/webview.pdf にリダイレクトしようとしています。 このページにリダイレクトしないようにする場合は、前のページに戻ってください。
アレゲ人ならきっと読んでるセキュリティホール memoによると、認証プロトコル「MS-CHAPv2」がご臨終とのこと。MS-CHAPv2はVPNの1つであるPPTPなどで一般に使われていますが、「All users and providers ofPPTPVPN solutions should immediately start migrating to a differentVPN protocol.PPTP traffic should be considered unencrypted.」とまで書かれています。とはいえ代替となるOpenVPNはメジャーなOSに統合されていないようでrootやJailbreakを要するため、PPTPほど気軽に使えるものではなさそうです。
■LINEがこの先生きのこるには 先々週、テレビ東京のワールドビジネスサテライトで、最近流行の「LINE」が特集されていたのだが、経済系の番組であるにも関わらず、「元カレが出て嫌」、「知らない人が出て怖い」という街の声をとって伝え、電話帳アップロードの件にも触れるなど、負の面も扱っていて、とてもよい番組であった。 人気急拡大「LINE」の実力は, ワールドビジネスサテライト, 2012年6月22日 番組を見た後、久しぶりにTwitterを「LINE 知らない人」で検索してみたところ、以前にも増して大量のツイートが出てきたのだが、そのほとんどが、「芸能人のマネージャですが」という詐欺spamが来たという報告であった。ちょうどこのころ、LINEに対して大量のspamが発生していたようだった。そして、LINEの運営元はspam防止に動いたようだった。 @magic_kanata ご報告ありがと
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
