SECURITY
上野宣さんにきく、こんなにもめんどうくさいWebセキュリティの世界:EnterpriseZine(エンタープライズジン) 「また上野宣か!」という声が聞こえてきそうな、7月2日の記事。 誤字や日本語的に表現がおかしいといろんなところから聞こえてきているけど、ま…
というわけで、今度は一年空きませんでしたが、あけましておめでとうございますw 二日前に http://www.backtrack-linux.org/backtrack/backtrack-5-r3-release-aug-13th-2012/ なBlogを見ました。 皆さん大好きBackTrackですね、はい。今年の3月1日にR2が公…
DLは、 Webアプリケーション脆弱性スキャナ Whitetip - BitArts から。BitArts,Inc.というのは従業員一人のSOHOの様ですな。 今月で設立してから12年になる様です。おめでとうございます。 対応プラットフォーム Windows系で.NET Framework 3.5を入れていれ…
ふとしたことで見つけたアプリですが、日本語記事がないので書いてみる。 WIVETは要はCrawlerの性能を測定するためのアプリ。 Web Güvenlik Topluluğu » WIVET からアクセスすれば入手可能です。 テストサイトがhttp://www.webguvenligi.org/wivetにあります…
ここから辿れば、PCI DSS v1.2*1のドキュメントにアクセス出来る。 Official PCI Security Standards Council Site - Verify PCI Compliance, Download Data Security and Credit Card Security Standards からはWAFに関する補足事項などが記載された 『Requ…
Hybrid Cloud Security Solutions | Trend Micro という製品がUSではリリースされているらしい。 元々は、Third Brigade社の『Deep Security』という製品だけど、Trend Microが買収して入手。 ホスト型FW/IDS/IPSにWeb Application Protection*1の機能を付け…
日立情報、SaaS型のWebアプリケーションファイアウォールサービスを提供 - Enterprise Watch Watch というわけで、 日立情報システムズさんがSaaS型WAFサービスを始めるってさ。 ニュースリリースはこちら↓ http://www.hitachijoho.com/news/2009/090908.htm…
つい先日知ったのだが、IIS7.xでは、UrlScanのほぼ全ての主要機能がRequest Filtering Module(要求フィルタ)という名称のネイティブモジュールに組み込まれて提供されているそうだ。 参照元:Use Request Filtering | Microsoft Docs IIS7.xにもUrlScanを…
Webアプリにおける11の脆弱性の常識と対策 (1/4):Webアプリの常識をJSPとStrutsで身につける(11) - @IT 指摘しだしたら止まらないから、敢えて突っ込まない*1が、『など』という言葉を単語の後に付けることで全て逃げているとか、対策が書いてないとか、…
先週土曜日(8/29)に開催された 第09回 まっちゃ445勉強会 (まっちゃ445勉強会)にて、 id:ripjyrさんから代表を引き継ぎました! 6時間で講師7人に喋っていただくという非常に濃い半日でしたが、 講師をはじめ、参加いただいた皆さんに満足いただけてい…
各インジェクション系攻撃に対して、 リクエストライン リクエストヘッダー リクエストボディ ステータスライン レスポンスヘッダー レスポンスボディ の何処に対してどの対処*1をしているのかって公開してくれないのかな? *1:どういう対処ではない
まっちゃ445勉強会メーリングリスト が開設されました。 今後の勉強会の募集告知を行うだけではなく、 勉強会の希望テーマを投稿したり、「講師やらせろ!」という声をあげたり、 勉強会前後のディスカッションの場としてご利用頂ければと思います。 ちなみ…
「統合ID管理ソリューション」を拡充 -2008年9月24日- 日本ユニシス 日本ユニシスがNovelIDMに加えてMS ILMも統合ID管理Solution*1のラインナップに加えるらしい。でもねぇ。 海外とかのIDM市場を見てると、RoleManegementにシフトしてきているのだが、そこ…
http://www.bbsec.co.jp/aboutus/press/080917.html によると、 Javaと.NETで組まれたアプリが対象なので、JavaEEサーバかIISが対象って事なのかな? ServletFilterとISAPI Filter使って実装した場合は、APサーバとRDBMS間の通信はジャック出来ないから、ど…
http://www.webappsec.org/lists/websecurity/archive/2008-09/msg00034.html のメールでRobert Auger曰く 「Hey!誰かフィードバックくれYO!」 って事なので、興味があって時間が取れる方は是非!w
Threat(脅威) Severity(重大度) に関する見解が記載されなくなり、内容が非常に理解し辛くなった気がする。
Oracle Fusion Middleware なんか出てる。■Impact and CVSS Ratings CVSS評価値 : 10.0 (High) 攻撃元区分 (AV) : Network 攻撃条件の複雑さ (AC) : 低 攻撃前の認証要否 (Au) : 不要 影響 : 機密性、完全性、可用性の全てが影響を受ける 脆弱性のタイプ : …
第01回まっちゃ445勉強会 というわけで、 関西でまっちゃ139の代表を務めるid:ripjyrさんが関西とは別に、関東でも勉強会を始める様です♪ 大きな特徴としては、 東京で月に1回土曜日に勉強会を開催 東京で月に1回平日夜に勉強会を開催(大阪とか他拠…
http://dev2dev.bea.com/advisoriesnotifications/ でアドバイザリーが7件公開されているのですが、 ナンバリングがCVE-2008-XXXXとなっていたり、 CVSS Ratingしか記載されなくなっていたりと元BEAのEngineer達はやる気なくしてるのかなぁ?と思ってみたり…
(まっちゃさんとこ(id:ripjyr)経由。) dev2dev本家サイト で書かれている内容を纏めようかなぁ?って思ってたら、 dev2dev日本サイト にちゃんと日本語された状態で公開されていましたよ。 今回からの新しい試みとして、『影響およびCVSS評価』がAdvisor…
id:ripjyrさめから振られた気がするw とりあえず、シェア的な問題で、WLS8.1とWLS9.2を中心にリスクの高いものを中心に纏める予定。 なお、BEA07-171.00〜BEA07-174.00は、SunのJRE*1の脆弱性に対応したものなので、開発者の方などでJRockitをインストール…
ClassLoaderの仕様変更っぽい。 マニフェストファイルにclass-path属性を指定して、アプリ内で読み込む.jarファイルを選択する様な実装をしているJ2EEアプリは、パッチを適用したり、WLS8.1SP6に上げることによって影響を受けそうです。 実際にこの属性を利…
http://www.beasys.co.jp/dev2dev/resourcelibrary/advisoriesnotifications/bea07-152.00.html http://www.beasys.co.jp/dev2dev/resourcelibrary/advisoriesnotifications/bea07-146.00.html もう少し大きく書いて欲しいのだけども・・・ ・WebLogic Serve…
http://www.beasys.co.jp/dev2dev/resourcelibrary/advisoriesnotifications/bea07-155.00.html ですが、情報がUSサイトも日本サイトも間違っているようなので補足しときます。(ぇ 最新バージョンは、【BEA JRockit 1.4.2 R27.1】です。 また、サイトには【…
http://www.beasys.co.jp/dev2dev/resourcelibrary/advisoriesnotifications/index.html ってわけで、日本語版のアドバイザリがリリースされています。 英語不得意って方は上記リンクからアクセスをお願いします。m(__)m
BEA07-152.00 BEA07-146.00 NSAPIを利用するiPlanet((現:SunJavaSystemWebServer(Sun社) or Netscape Enterprise Server(RedHat社)))用のPlug-inと Apache用のPlug-inで重要度とシステムへの影響度が共に高のアドバイザリが出ています。 現時点でのWebLogic…
重要度高:11件 システムへの影響度高:10件
Oracle Fusion Middleware というわけで、 更新4件 新規24件 のセキュリティアドバイザリが2006/05/15以来8ヶ月ぶりに公開されています。 とりまとめる時間が取れるかどうか微妙なので、詳細は上記を参照してください。m(__)m
米Websense、データ送信にICMPを利用する新種のトロイの木馬を警告 データの送信にICMPパケット使うんだってさ。 どういう風にデータを内包しているのかパケットを見てみたいものです。
12件ですってね。 世の中夏休みだってのにねぇぃ。 夏休みでマルウェアといえば、Blasterワームが懐かしいですね。 ウチの会社でも感染者が出て社内NWが大混乱になりましたし( ̄◇ ̄;) 中の人とアドミソな方々は頑張ってくださいm(__)m
