2004-09-01 Wed
Webアプリケーションに潜むセキュリティホール
- SQLインジェクション
SQLデータベースに対し,外部から任意のコマンドを与えることができる状態
http://altba.com/bakera/hatomaru.aspx/glossary/00530051004c30a430f330b830a730af30b730e730f3
- サニタイズ
危険な文字列を含む「汚染された」入力から危険な文字を取り除き,無害化すること
http://altba.com/bakera/hatomaru.aspx/glossary/30b530cb30bf30a430ba
- Reference
@IT - Security & Trust - Webアプリケーションに潜むセキュリティホール
http://www.atmarkit.co.jp/fsecurity/rensai/webhole01/webhole01.html
2004-04-23 Fri
BeckyのPOP over SSL化
- stunnel をインストール
Stunnel.orgから以下の二つのファイルをDL.
stunnel-4.05.exe
openssl.zip
- stunnel.confの作成
client=yes debug=0 [pop3s] accept=10110 connect=pop.home.ne.jp:995 [smtps] accept=10025 connect=smtpa.home.ne.jp:465
- 解凍
stunnel-4.05.exe と openssl.zip を解凍
stunnel.confも同じディレクトリに移動.
- コマンドプロンプトからインストール
解凍したディレクトリから
stunnel-4.05 -install
- stunnelの実行
Windowsを再起動.
stunnelがサービスとして開始される.
- stunnelがサービスとして開始されなかった場合
[コンピュータの管理] - [サービスとアプリケーション] - [サービス] から自動起動するよう設定
- Becky側の設定
[メールボックスの設定] - [基本設定]タブ
| SMTPサーバ | localhost |
| POP サーバ | localhost |
| SMTPのポート | 10025 |
| POP のポート | 10110 |
| SMTP認証 | チェック |
| CRAM-MD5 | チェック |
| LOGIN | チェック |
- 備考
wstunnelというGUI版もあるようだ
現時点では stunnel-4.xに未対応
http://www.orangesoft.co.jp/wstunnel/
- トラブル: メール送信のエラー
SMTP認証を行わないと以下のエラーが発生.メールの受信はうまくいく.
550 5.7.1 <example@example.com>... Relaying denied. Proper authentication required.
- トラブル: サービスとして起動できない
stunnelをインストールしたディレクトリにAdministrators権限が無いとサービスとして起動できない.
- Reference
shibataism.com: ザ・ITアーカイブ
http://www.shibataism.com/mt/archives/cat_it.html#000095
イサカ・インフォ - メールソフトの「SSL化」
http://people.cornell.edu/pages/kt34/ithaca_info/ssl.html
@IT - Security Tips - SSL非対応メーラのSSL化
http://www.atmarkit.co.jp/fsecurity/rensai/securitytips/018stunnnel.html
2004-02-02 Mon
SECURE SYSTEM Training Tour 2004
- Summary
マイクロソフト社が主催するセキュリティトレーニングプログラム.
全国47都道府県でそれぞれ実施.対象は合計2万人.
コースはIT Pro#1,IT Pro#2,Developerの3種類
参加費無料
- 日時と場所
2004-03-10 - 2004-04-16
東京: 新宿住友ビル
- Reference
SECURE SYSTEM Training Tour 2004
http://www.event-info.jp/events/sstt2004/
- via
ITMedia - MS、全国の技術者2万人に無償セキュリティトレーニング
http://www.itmedia.co.jp/news/articles/0402/02/news008.html
2004-02-02 Mon
SECURITY SUMMIT 2004
- Summary
マイクロソフト社が主催するセキュリティに関する取り組みや最新情報を説明するイベント.
参加費無料
- 日時と場所
2004-03-08 14:00 - 16:00
パシフィコ横浜 国立大ホール
- Reference
SECURITY SUMMIT 2004
http://www.event-info.jp/events/ss2004/
- via
ITMedia - MS、全国の技術者2万人に無償セキュリティトレーニング
http://www.itmedia.co.jp/news/articles/0402/02/news008.html
2004-01-22 Thu
Microsoft Baseline Security Analyzer V1.2
- Summary
[2003-09-05-3]: Microsoft Baseline Security Analyzer のバージョンアップ
日本語版も同時リリース
- 変更点
以下の脆弱点を確認可能に
Microsoft Exchange Server 2003
Microsoft Data Access Components
MSXML
Microsoft Virtual Machine
Microsoft Content Management Server
Microsoft Commerce Server
Microsoft Host Integration Server
Microsoft BizTalk Server
Microsoft Office
- Reference
Microsoft Baseline Security Analyzer
http://www.microsoft.com/japan/technet/security/tools/mbsahome.asp
- via
窓の杜 - 「Microsoft Baseline Security Analyzer」v1.2の日本語・英語版がリリース
http://www.forest.impress.co.jp/article/2004/01/20/mbsa12.html
2003-12-11 Thu
Microsoft が WindowsパッチCD を配布?
- 戯言
なら,今のうちに焦らなくていいのかな? > 砂岡さん
- Reference
CNET Japan - 米MS、パッチ未適用ユーザーのためのWindowsパッチCDを準備中か
http://japan.cnet.com/news/ent/story/0,2000047623,20062528,00.htm
2003-12-05 Fri
K-OTik Security
- Reference
0day-exploits - Exploits Vulnerabilities Codes
http://www.k-otik.com/exploits/
2003-10-31 Fri
Internet Explorer 6.x のプライバシ機能
- zonemap.reg - 制限付きゾーンファイルを設定する
http://apollo.u-gakugei.ac.jp/~sunaoka/misc/iesec/zonemap.reg
- history.reg - Cookie 受け入れを拒否する
http://apollo.u-gakugei.ac.jp/~sunaoka/misc/iesec/history.reg
- Reference
今日の戯言 - Internet Explorer 6.x のプライバシ機能について
http://apollo.u-gakugei.ac.jp/~sunaoka/misc/iesec/
2003-09-23 Tue
Webの悪用のデモサイト
- http://www.techmatrix.co.jp/sanctum/HackingDemo/Hackers_Final_Web_J.swf
- via
たつをのChangeLog - 2003-08-31
http://chalow.net/2003-08-31.html#2003-08-31-1
2003-09-11 Thu
ルータのフィルタリング
- TCP 593 を塞ごうとルータの設定を見たら
いつの間にか,161-162 が塞がっていた.
調べてみたら,SNMPv1 脆弱性対策だった.
- MS03-039: RPCSS サービスのバッファオーバーラン
塞ぐべきポート
| TCP | 135,139,445,593 |
| UDP | 135,137,138,445 |
| Both | 135-139 |
| Both | 161-162 |
| Both | 445 |
| Both | 593 |
- Reference
[memo:6398] MS03-039: RPCSS サービスのバッファオーバーランによりコードが実行され
http://memo.st.ryukoku.ac.jp/archive/200309.month/6398.html
広範囲に該当する SNMP の脆弱性について
http://www.ipa.go.jp/security/ciadr/20020213snmp.html
Internet Security Systems K.K. : PROTOS リモート SNMP 攻撃ツール
http://www.isskk.co.jp/support/techinfo/general/PROTOS_SNMP_xforce.html
2003-09-05 Fri
HFNetChk XML DB
- Baseline Security Analyzer
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/tools/Tools/mbsahome.asp
- HFNetChk
Baseline Security Analyzer がインストールされたディレクトリで
mbsacli /hf -x stksecure.xml
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/tools/tools/hfnetchk.asp
- セキュリティ ツールキット 更新情報
マイクロソフトが提供するセキュリティツールキットに関する更新情報を一覧することができます
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/tools/stkupdate.asp
- 日本語環境用 XML DB の cab 形式ファイル
http://download.microsoft.com/download/xml/security/1.0/NT5/JA/mssecure.cab
- Reference
2003-06-04 Wed
Secure MySQL Database Design
- Summary
MySQL の安全な運用法
- Reference
http://www.securityfocus.com/infocus/1667
2003-06-04 Wed
Secure Installation of BIND
- Summary
BIND の安全な運用法
- Reference
http://www.securityfocus.com/infocus/1361
2003-06-04 Wed
Securing Apache - Step-by-Step
- Summary
Apache の安全な運用法
- Reference
http://www.securityfocus.com/infocus/1694
2003-06-04 Wed
Installing and Securing the Apache Webserver with SSL
- Summary
SSL (mod_ssl) を用いた Apache の安全な運用法
- Reference
http://www.securityfocus.com/infocus/1356
2003-06-04 Wed
Secure Programming for Linux and Unix HOWTO
- Summary
Linux および Unix システム上で安全なプログラムを書く際に必要となる設計や実装についてのガイドライン
- Reference
Secure Programming for Linux and Unix HOWTO - 邦訳
http://www.linux.or.jp/JF/JFdocs/Secure-Programs-HOWTO/
Secure Programming for Linux and Unix HOWTO - 原文
http://www.dwheeler.com/secure-programs/
2003-01-31 Fri
情報システムセキュリティの要件からみた社会技術
- OECD の定義 (1-3) と ISO/IECJTC 1/SC 27 のTechnica Report(4-6)の情報セキュリティの内容
| 1 | Availability | 利用可能性 |
| 2 | Confidentiality | 秘匿性 |
| 3 | Integrity | 一貫性 |
| 4 | Accountability | 遡及説明可能性 |
| 5 | Authenticity | 真正性 |
| 6 | Reliability | 信頼性 |
情報セキュリティの社会技術序説 (2000年12月)
http://cogsci.l.chiba-u.ac.jp/~tutiya/Publications/112600concept.txt
