脆弱性体験学習ツール AppGoat 脆弱性体験学習ツール AppGoatとは 脆弱性体験学習ツール「AppGoat」は、脆弱性の概要や対策方法等の脆弱性に関する基礎的な知識を実習形式で体系的に学べるツールです。利用者は、学習テーマ毎に用意された演習問題に対して、埋め込まれた脆弱性の発見、プログラミング上の問題点の把握、対策手法の学習を対話的に実施できます。 ウェブアプリケーションの脆弱性対策に必要なスキルを習得したい開発者やウェブサイトの管理者におすすめです。
独立行政法人情報処理推進機構(IPA)は、Web上の質問に答えるだけで自社のセキュリティ成熟度を計ることができる自己診断ツールの最新版「情報セキュリティ対策ベンチマークver3.3」を公開したと発表しました。 「情報セキュリティ対策ベンチマーク」は2005年8月から公開されているツール。セキュリティ対策についての40問の質問に答えると、組織の情報セキュリティ対策の整備・運用状況の自己評価ができるようになっています。評価はJISQ27001を参照して作成された25の項目に分かれて、グラフなど分かりやすい形式で表示。経営者、セキュリティ管理者が、自社のセキュリティ対策のレベルを項目ごとに確認できます。 このベンチマークを用いてSIerなどが手軽なコンサルティングサービスを提供することも想定し、質問の一覧や対策のポイント一覧などの資料がダウンロードできるように用意されてもいます。メールなどで顧客
ダウンロード このコンテンツは、「セキュア・プログラミング講座 Webアプリケーション編」を元にした 3回コースのセミナー講座形式のテキストおよび補助資料であり、次の6つのファイルから成る。 講座テキスト「はじめに - 脆弱性の分類と開発工程」 講座テキスト「第1回 要件定義工程における保護対象の識別が重要である対策」 講座テキスト「第2回 設計工程における考慮が重要である対策」 講座テキスト「第3回 主に実装工程で実施する対策」 Webアプリケーション脆弱性対策チェックリスト 用語解説 品質保証部門向けコンテンツ この講座は、「上流から保証する脆弱性予防」と題して、Webアプリケーション開発に関わる品質保証部門に向けた脆弱性対策解説とチェックリストを提供するものである。この内容は、「セキュア・プログラミング講座 Webアプリケーション編」で取り上げた脆弱性対策に、脆弱性の特性を考慮した工
エフセキュアの無料マルウェア駆除ツール「オンラインスキャナ4.2」がOperaとGoogle Chromeにも対応 2010年02月23日13:13 ツイート risa_ozaki 横浜発 by:尾崎 リサ エフセキュアが無料で提供している「オンラインスキャナ」は、ワンストップでウイルスやスパイウェアなどのマルウェアを検出・駆除するツールで、今年で5年目を迎えます。 グローバルにがんばる「オンラインスキャナ」は、現時点で20ヶ国語で提供され、これまでFirefoxとInternet ExplorerのWebブラウザをサポートしていましたが、最新版の「オンラインスキャナ4.2」は、OperaとGoogle Chromeを追加サポートします。 「クイックスキャン」「フルスキャン」と、特定のファイルをスキャンする「マイスキャン」の3つのスキャンメニューがあり、「クイックスキャン」の所要時間は、
Microsoft Learn. Spark possibility. Build skills that open doors. See all you can do with documentation, hands-on training, and certifications to help you get the most from Microsoft products. Learn by doing Gain the skills you can apply to everyday situations through hands-on training personalized to your needs, at your own pace or with our global network of learning partners. Take training Find
2009年11月12日、三菱UFJ証券事件の判決が下された。この事件は、三菱UFJ証券のシステム部長代理が、顧客情報149万人分を持ち出し、約5万人分を売却したものである。ちなみに、149万人というのは、同社のほぼ全顧客なんだそうである。要するに、全顧客データを持ち出されたわけだ。キャバクラで散財して借金を作ったのが原因というからお粗末である。不正アクセス禁止法と窃盗の罪で懲役2年の実刑判決だった。 三菱UFJ証券は、この事件で個人情報が漏えいした約5万人に対して1万円のギフト券を配布した。約5億円の損害だ。過去の個人情報漏えい事件では、500円から1,000円のお詫びが多かったことを考えると、飛び抜けて高い金額である。さらに合計5億円というのも多い。 さらに同社が被った損害はこれだけではない。報道によれば、検察が試算した損害額は、なんと70億円。顧客からの問い合わせ対応、弁護士費用、
セキュリティ企業Finjanの研究者たちが、オンラインバンキングを狙った新型のトロイの木馬の詳細を明らかにした。このトロイの木馬は、オンラインバンキングのログイン認証情報を盗むだけでなく、ユーザーがログインしている間に口座から実際に金銭を盗み、偽の残高情報を表示するという。 オンラインバンキングを狙うこのトロイの木馬は「URLZone」と呼ばれ、通常と異なる取引が検出された場合に作動する詐欺行為検出システムを迂回するように作られている、とFinjanの最高技術責任者(CTO)であるYuval Ben-Itzhak氏は、米国時間9月29日のインタビューで語った。例えば口座から盗む金額を、口座の残高に基づいてその場で計算するようプログラムされているという。 Ben-Itzhak氏によると、このトロイの木馬は「Firefox」「Internet Explorer(IE)6」「IE7」「IE8」「
本資料は、「DNSキャッシュポイズニングの脆弱性」の対策を更に促進することを目的としており、DNSキャッシュポイズニング対策の検査ツールの使用方法や、DNSの適切な設定方法に関する情報等をまとめています。 第1章では、DNSの役割とその仕組み、DNSキャッシュポイズニングの実現手法とその脅威を解説しています。 第2章では、DNSの問合せ動作を概説し、その動作の理解を深めて頂くための関連ツールとしてwhoisサービスやnslookupコマンドの使い方を説明しています。 第3章では、DNSキャッシュポイズニング対策の検査ツールとして活用できるCross-Pollination CheckツールとDNS-OARC Randomness Testツールの使い方と注意点をまとめてあります。 第4章では、BIND DNSサーバとWindows DNSサーバの適切な設定に関して具体的に記述してあります。
某所で運用しているサーバの話なんですが、割と"SSH Brute Force Attack"がヒドく、対策を行わないといけないんですが、その前にせっかくなので、攻撃者がどんなユーザ名でログインを試みているかの統計を取ってみました。 というわけで、ログインに失敗した回数、上位10ユーザ名の一覧を取得するワンライナー。 # cat /var/log/secure* | grep 'Invalid' | awk '{print $8}' | sort | uniq -c | sort -nr | head -n 10結果は、だいたい予想通りですが、↓のような感じです。 1474 admin 1399 test 1059 123456 751 oracle 703 user 570 guest 416 web 380 www 370 info 359 backupというわけで、"admin"とか"
Windowsのみ : USBへ安全にファイルを入れ、それをどこでもソフトウェアなしで解除できたら、という希望に応えてくれるのが、今回紹介する『WinPT』です。これは、どんなデータも暗号化する、ライフハッカー編集部もお気に入りの「TrueCrypt(トゥルークリプト)」がどこにでも持ち運びできるようになったようなソフト。 プライバシー保護に役立つオープンソース『GnuPGP』の初期段階を持ち運びできるようにしたもので、『WinPT』と『GnuPGP』は「PortableApps.com」からダウンロードできるようになっています。また、『WinPT』は暗号化に必要なすべてのツールがあり、パスワードが必要な、対称性をもつ暗号化もできます。 このアプリケーションは「PortableApps.com」には、開発中のベータ版として載っていますが、使ってみたところ、完成されたバージョンのように感じま
2024年下半期のフィルム写真たち ふと気がつくと2024年も残り僅か。 そしてふと振り返るとこのブログに掲載する写真がGRIIIで撮ったものばかりになっていたのだけど、決してフィルムに飽きたということではなく、フィルムはフィルムで淡々と撮り続けているし、モノクロもカラーネガもいつも通り自宅で…
ちょっと作成したWebアプリケーションに脆弱性があるかをきちんとチェックしないといけない羽目になったので調べてみた. 出来ればフリーで,無ければ有償でもいいので.いや,やっぱりフリーで... 調べて実際にインストールや使ってみた順に載せてみます. Nessus http://www.nessus.org/nessus/ フリーでは一番使いやすいサーバ脆弱性診断ツールかな.有名だし. でもサーバの脆弱性診断という位置づけが強い MultiInjector released - automatic parallel website Injector / Defacer http://chaptersinwebsecurity.blogspot.com/2008/10/multiinjector-released-automatic.html Pythonの2.4以上で動作 Windowsでも使
例えば会社の同僚が使っているPCに、自分のUSBメモリを接続して内部データを盗難する、というのは一番カジュアルなデータ窃盗テクだ。リリースされたばかりの海外製ツール「USB History GUI」を使うと、PCに対するUSBメモリの接続履歴を確認することができる。 USB History GUIをSoftpediaのページからダウンロードし起動。「Analyse」をクリック。 USBメモリの接続履歴が表示される。表示名は「安全な取り外し」「停止」の際の表示名と同じ。USBメモリの商品型番などとは違うが、名前中のキーワードをググれば正体が判明するケースが多い。この場合「MF-KU」で検索したところ、それがELECOMのUSBメモリであることが分かった。ELECOMのUSBメモリを自分は持っていなくて、しかし同じ部署の人間が持っているなら、その人が自分のマシンにUSBメモリを接続した可能性が
・「イージスガード」公開のお知らせ (2009/10/06) WinAmulet 上位互換の「イージスガード」を個人用フリーソフトとして公開しました。イージスガードに使用制限はありません。今後はぜひこのイージスガードをご利用下さい。 ・WinAmulet 終了のお知らせ(?) (2009/08/13) ■ はじめに 私の PC には個人的なファイルをたくさん保存しているフォルダがあります。その中身は、住所録や思い出のスナップ、メールデータやちょっとした秘密のメモなどさまざまです。 ある時ふと思いました。これらのファイルを読み書きするときに使うプログラムはごく限られています。 普段自分がそれ以外のプログラムを使ってこれらにアクセスすることはありませんし、まして、たとえ Windows のシステムプログラムであっても、自分の意図とは無関係に動いているプログラムからこれらに勝手にアクセスされるの
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く