2016年8月2日に3年ぶりに書籍を出します。テーマは「Webアプリケーション脆弱性診断」です。 弊社(株式会社トライコーダ)では脆弱性診断を学ぶための講座をいくつか提供していたり、リーダーを務めるOWASP Japanの脆弱性診断士スキルマッププロジェクトで…
モバイルルーターとしては最強と言われるほど申し分ない機能を持つ Aterm MR03LN は、当初SIMフリー機だと噂されていましたが、国内ONLYのDoCoMoのMVNOのSIMにしか対応していませんでした。 【最新】 MR03LN モバイルルーター最強伝説! - NAVER まとめ 海外…
そう、URLさえわかればね。 セキュリティの講義のネタでよく話してるんですけど、以外と知られていないようなので。 公開範囲は 自分のみ URLさえわかれば表示することが可能です。下記はそのURLです。 https://scontent-a.xx.fbcdn.net/hphotos-xpa1/t31.0-…
Webサーバーがレスポンスを発行する際に、HTTPレスポンスヘッダーに付けるとセキュリティレベルの向上につながるヘッダーフィールドを紹介します。 囲み内は推奨する設定の一例です。ブラウザによっては対応していないヘッダーフィールドやオプションなども…
私も海外でよく使っていたイモトのWi-Fi「GLOBALDATA」のWebサーバーに不正アクセスがあり、調査の結果最大146,701件のクレジットカード情報を含む情報漏えいがあったことが判明しています。 不正アクセスによるお客様情報流出に関するお知らせとお詫び | エ…
ひさびさの単著となる『HTTPの教科書』が2013年5月24日に発売になります。 内容はタイトルの通り、Webに関わる全ての人に捧げるHTTPを学ぶための教科書です。基礎を学びたい初心者の方から、机の上に置いてリファレンス的に使いたい方までを対象としています…
システム環境設定からONにすればいいんですけど、なぜかシステム環境設定のロックが外せなくなったので、コマンドラインから各種設定変更を模索してみました。 コマンドラインから画面共有をONにするには、下記のコマンドをターミナルから実行します。 # sud…
OWASP Japan Leader らしく、OWASP Top 10 2013 RC1版の紹介でも。 https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project OWASPでは、PCI DSSなどでも参照しているOWASP Top 10 の 2013年版のリリース準備中です。現在、RC1をリリースして、コメ…
いわゆる"Bug Bounty Programs"と言われている、Webサイトの脆弱性情報などを受け付けて、それに報奨金を出すというプログラムです。報奨金で飯を食えるようになるといいですね。 Google Program Rules – Application Security – Google facebook Security B…
ハッシュじゃなくて、いわゆる暗号化してるんじゃない?とか平文じゃないんじゃない的なことを言う人もいますが、この場合わざわざ鍵の管理がめんどうな暗号化を選ぶ理由はないと思いますが。
お名前.comで取ってるドメインがあったので、とりあえずレンタルサーバーも使ってみようと申し込んでみました。 月額1575円の共用サーバー SD|ドメイン取得なら お名前.com 設定を始めたところ、設定用のWebインタフェースのコントロールパネルに、メールア…
米国証券取引委員会(The US Securities and Exchange Commission : SEC)の職員が、ハッカーの会議(たぶん今年のBlackHat USA?)に機密情報がたくさん入ったPCを持ち込んだおかげで、安全かどうかの検証に20万ドルも費やす結果となったそうです。 PCのデ…
HPが主催し、英国のPonemon Instituteが調査したさまざまな産業分野の38団体のサンプルに基づくセキュリティのベンチマーク調査レポートです。 サイバー犯罪は被害・対策ともに高く付く。年間平均コストは平均210万£(約2.7億円)で、4百万£〜770万£の範囲 …
ちょうどイーモバイルを契約して2年、ソフトバンクグループになったし、WiMAXは快適だし、iPhone5はDoCoMoだし、と継続する理由も特になかったのでいいタイミングで解約しました。以前は、店頭に行くのが一番という解約難所のイーモバイルでしたが、電話だけ…
いつものExpansysからiPhone5 64GB(GSM A1429)を買いました。もちろん香港版のSIMフリー。LTEが使えないとか、FOMAプラスエリアが使えないとか、いろんな問題がありますがとりあえず新しい端末は快適です。 気になる電波状況ですが、LTEは使えないのはさて…
OWASPではXSS Filter 回避のためのチートシート(XSS Filter Evasion Cheat Sheet)を公開しました。 これは有名な「XSS (Cross Site Scripting) Cheat Sheet(http://ha.ckers.org/xss.html)」を移行したものです。Robert "RSnake" Hansenの協力に感謝! X…
ターミナルを起動して下記のコマンドを実行する。 security dump-keychain -d ~/Library/Keychains/login.keychain 「”security”がキーチェーン”ログイン”を使おうとしています。キーチェーンのパスワードを入力して下さい」とパスワードを聞いてこない場合…
GoogleやDropboxなどが次々と二要素認証に対応していますが、そろそろウチのsshも二要素認証対応にという方向けに。30秒の簡単導入です。 $ curl 'https://raw.github.com/authy/authy-ssh/master/authy-ssh' -o authy-ssh $ sudo bash authy-ssh install /u…
おやつ用に。大丸東京店のほっぺタウンが拡張してベルアメールとかいろいろ入ってます。 甘味じゃないけど、ヤザワミートのお弁当が買えるのも嬉しいです。けど、弁当で30分待ちとか本店の行列を彷彿させる感じです…。
マンゴープリンのプリン部分が濃厚で果実味もあって美味しかった。チーズケーキやフルーツプリンも果物が美味しい。フルーツプリンはラム酒が効いていました。 京橋千疋屋 東京駅一番街店ジャンル:フルーツパーラー住所: 千代田区丸の内1-9-1 東京駅一番街…
MacOS X Mountain Lionにupgradeインストールしたら、スリープして、復帰するときに何度かに一度結構な高確率で再起動してしまっている問題にセキュリティキャンプ中に悩まされていました。最初はMBP Retina個体の問題かと思っていましたが、MBP Airの方でも…
テリーヌ・ドゥ・フリュイというなのフルーツゼリーを頂きました。濃厚なお菓子も好きですが、盛夏にはさっぱりしたゼリーがとても合いますね。 BlackHat、DEFCON、セキュリティキャンプと連続出張が終わったので、ようやく腰を落ち着けて日本で甘味が食べら…
久々の日本橋三越。夏はケーキよりも、和菓子とかつまみとかに惹かれます。試食して美味しかったので購入。日本橋三越では、今ならオリジナル風呂敷に包んでくれるというキャンペーンもやってます。お持たせにいいね。 ボルチーニとかわさびがおすすめ。わさ…
Intel Core2DuoのCPUキャッシュコントローラーの脆弱性を利用したリモートコード実行のPoCが公開されています。Core2Duo以外にもAtomでも動くそうです。 Intel Core2Duo cpu cache controller bug PoC | Inj3ct0r - exploit database : vulnerability : 0day…
元ペンタゴンのアナリストによると、中国政府または人民解放軍が世界の通信の約80%にアクセスできるバックドアを持っていると伝えています。 中国企業のHuawei社とZTE社製品のネットワーク機器にバックドアがあるので、それらを使っているネットワークには…
F-Secureの研究者がコロンビア交通のWebサイトで、Windows、MacOS、Linuxなどマルチプラットフォームで動作するバックドアを発見しました。 バックドアは署名されたJavaのJARファイルを使って、ユーザーの端末がどのOSかを判定して、プラットフォームに適し…
RFC6648として、アプリケーションプロトコル内での"X-"接頭辞と同様の構造の廃止というのが上がっていました。 HTTPなど多くのプロトコルでは、非標準パラメーターに”X-”接頭辞を付けることで、標準パラメーターと区別していましたが、メリットがないという…
PayPal もバグ報奨金プログラムを開始しました。GoogleやFirefoxなどがやっているあれです。 対象となる脆弱性は、XSS、CSRF、SQLインジェクション、認証のバイパスとのこと。報告したらいくらぐらいもらえるんでしょうね? For Security Researchers - PayP…
フランスのexploit販売会社のVupenによると、ターゲットの制御を得ることができるようなゼロデイ攻撃の価格は下記のようになっているとのこと。 Adobe Reader $5,000-$30,000 Mac OSX $20,000-$50,000 Android $30,000-$60,000 Flash,Java Plugin $40,000-$1…
はらロールは神戸のお店。豆乳を使ったクリームとスポンジ生地がとても美味しいです。ルレ・レーブを思い出す美味しさ!リピートしたい。 左から、オリジナルのはらロール、きなこ、フルーツ、抹茶。抹茶美味しい。 東京駅地下グランスタの特設会場に出てい…