セキュリティ

安全確保支援士対策 BOF 編 [2]

このエントリでは、安全確保支援士試験の対策として、情報処理技術者試験の過去問を解説します。 過去問を解きながら、知識のインプットができるようにしたつもりです。問題に取り組んでいただき、その後、本エントリを見ていただければと思います。 時間が…

安全確保支援士対策 BOF 編 [1]

このエントリでは、安全確保支援士試験の対策として、情報処理技術者試験の過去問を解説します。 過去問を解きながら、知識のインプットができるようにしたつもりです。ぜひ、問題に取り組んでいただき、その後、本エントリを見ていただければと思います。 …

速習・ペンテスト(Linux BOF)

前回の続き。「Windowsだけではなく、Linux でもやってみよう」 という問題。やり方は、おおむね前回と同様で、しかもうまくいったので、メモは少しだけにする。使ったデバッガは、もちろん異なる。Kali Linux には、edb-debugger という GUI のデバッガが同…

速習・ペンテスト(Windows BOF)

「Lab 内で、VulnServer(実行ファイルは VulnServer.exe)が起動している Windows マシンを攻撃し、バックドアを仕込んでください」 という問題を解いている。CTF の問題ではない。初学者向けの学習用につくられた教材を使っている。このため、VulnServer …

速習・ペンテスト(Netcat)

仕事で「情報セキュリティ」に携わることになって、1 年が経とうとしている。最低限の知識は持っておこうと、少しずつ勉強してきた。今は、ペンテスト(ペネトレーションテスト)に関連する技術を新しくしておこうと、Kali Linux をいじくっている*1。 まず…

GREM をとった

久しぶりに資格を取得した。資格については色々と思うところがあるが、試験に合格すると、うれしいものだ。悪くない。 しかし、苦しい 2 時間だった。制限時間も正答率も、ギリギリセーフで、「なんとかっ!」 という感じだった。 模試で 8 割くらいとれてい…

安全でないデシリアライゼーション?

安全でないデシリアライゼーション(Insecure Deserialization)? なんと初耳。「OWASP Top 10 - 2017 」で、初めて聞いた。もっと言うと、「OWASP Top 10 2017 日本語版」で、初めて聞いた。しかし、日本語版のリリースは、本当にありがたい。英語には、果…

もろもろ

参加 SANS Tokyo Autumn 2017 に参加してきた。 完全に、清水の舞台から飛び降りた。終盤は、ついていけなくって、失禁しそうだった。 退会 早くも、セキュ塾のホワイトハッカー育成コースを退会した。さすがに、手が回らなくなった。 選挙 初めて期日前に投…

2017 OWASP World Tour Tokyo

久しぶりの Web。周回遅れになっているので、情報収集のために参加した。思っていたのとは、ちょっと違った*1が、参加してよかった。充実した 1 日になった。 案内 https://www.owasp.org/index.php/2017_OWASP_World_Tour_Tokyo 詳細 Opening "OWASP Projec…

サイバーセキュリティモニタリング(マルウェア解析編)

「サイバーセキュリティモニタリング(ハニーポット編 2) - あしのあしあと」の続き。 久しぶりに 「サイバーセキュリティモニタリング」。何もしていなかったわけではないが、なかなか書けなかった。 仕事しんどいス。最近の Web アプリケーションに、つい…

失われた数年間を取り戻す

なにもかも、遅れてしまっている。たかだか 5 年くらいで、こうまで変わるものなのか。 仕事では、クラウド上の Web アプリケーションを扱うことが多い。今は、開発部隊が「セキュリティ上どういうところに気をつけて提案、設計、実装、運用すればよいのか?…

SSL/TLS で DSA や ECDSA の鍵長はどうやって決まる?

さっぱり、わからない。おそらく、恥ずかしいタイトルになっているのだろうが、全くわからないのだから仕方がない。ここ数日、電車の中では、次の資料をひたすら読んでいた。ちなみに、どちらもとても読みやすい。そこは、助かった。 SSL/TLS 暗号設定ガイド…

サイバーセキュリティモニタリング(ハニーポット編 2)

「サイバーセキュリティモニタリング(ハニーポット編 1) - あしのあしあと」の続き。3 章の章末問題【2】をやる。「ハニーポット編 2」とは言いながら、この問題は、難読化の解除の問題。まぁよい。まずは、サンプルをとってくる。 https://sites.google.c…

Glastopf が入らない

「サイバーセキュリティモニタリング(環境構築編) - あしのあしあと」の続き。次々に、新たな環境を構築しなければならない。 で、結論から言うと、ハニークライアントである Glastopf が、うまくインストールできなかった。 Glastopf のインストール手順…

サイバーセキュリティモニタリング(ハニーポット編 1)

「サイバーセキュリティモニタリング(攻撃と侵入編) - あしのあしあと」の続き。3 章の章末問題【1】をやる。今回も、本編の類題。リハビリにはうってつけ。「今度こそ余裕」と思っていた。確かに、本編のハンズオンは、うまくいった。しかし、章末問題が…

サイバーセキュリティモニタリング(攻撃と侵入編)

「サイバーセキュリティモニタリング(環境構築編) - あしのあしあと」の続き。「2 章は、簡単だ〜!!」と思っていたのだが、殊の外、うまくいかなかった。 まずは、攻撃するホストで、HTTP サーバを起動した。これがワナのサイトになる。ここまでは、よい。…

サイバーセキュリティモニタリング(環境構築編)

仕事で、「セキュリティ」をやることになった。まさか、今になってやることになるとは。。ま、せっかく来たチャンスなので、なんとか結果を残したいところ。 何年もセキュリティから離れていたので(というか、IT から離れていたので)、どうにかして、キャ…

「SQLを動的に組み立てる」とは

「「SQLインジェクション対策」でGoogle検索して上位15記事を検証した - ockeghem's blog」が、とてもためになるエントリだと後輩に紹介したら、夜、飲み屋で「SQLインジェクション対策」の話になった。 で、なんか『SQLを動的に組み立てる』っていう言葉の…

まぁた情報セキュリティスペシャリストの対策本

情報処理技術者試験(情報セキュリティスペシャリスト)の対策本、「2011年版情報セキュリティスペシャリスト完全合格対策」が出版されるらしい。先日、自宅にも届いた。出版時期を早めようって頑張っていたみたいだけど、結局、3月下旬になったのね(遅っ)…

Javaで乱数を生成しない

ちょっと前に「Javaで乱数を生成する」というタイトルで、Javaで疑似乱数を生成する方法について書いてきた。 Javaで乱数を生成する(1) : 疑似乱数生成器の動作概要 Javaで乱数を生成する(2) : JavaのAPIの紹介 Javaで乱数を生成する(3) : Tomcatのソース…

Javaで乱数を生成する(4)

「Javaで乱数を生成する」というタイトルだが、生成できるのは疑似乱数。疑似乱数生成器の動作概要については「Javaで乱数を生成する(1)」に説明した。また、Javaでどのように実装するかについて「Javaで乱数を生成する(2)」に説明した。「Javaで乱数を生成…

Javaで乱数を生成する(3)

「Javaで乱数を生成する」というタイトルだが、生成できるのは疑似乱数だ。疑似乱数生成器の動作概要については「Javaで乱数を生成する(1)」に説明した。また、Javaでどのように実装するかについて「Javaで乱数を生成する(2)」に説明した。しかし、実用的な…

Javaで乱数を生成する(2)

「Javaで乱数を生成する」というタイトルだが、生成できるのは疑似乱数だ。今日は「Javaで乱数を生成する(1)」で説明した「疑似乱数生成器がどのように疑似乱数を生成するのか」について、Javaではどのように実装すればよいか説明する。 Javaでは、疑似乱数…

Javaで乱数を生成する(1)

書こうと思ってメモしていたのだが、すっかり忘れていた。お正月にメモを見て思い出す。 のっけからだが、タイトルがウソだ。ソフトウェアだけで(真の)乱数を生成することはできない。なので、Javaでは乱数が生成できない*1。乱数の定義にもよる*2が、例え…

締め切り間近

体調がすぐれないが、喫茶店で原稿書き書き。 今日は「気ままに解説(H22春SC午後I問1) - あしのあしあと」で解説した問題。「いつ出題されてもおかしくないなぁ」と思っていたら、ひねりなしで、まんまきたやつ。誰が読んでもわかるように、“サーブレット”…

セキュリティチップ

情報セキュリティスペシャリスト、平成22年度春期の午後I問2の解説を書き書き。前回の試験に引き続き、TPM(Trusted Platform Module)について出題されている。TPMについては、次のLenovoのページの解説がわかりやすい。これくらい知っていれば、十分に得点…

広範囲な専門性?

喫茶店で、情報セキュリティスペシャリスト試験の解説を書き書き。平成22年度の春期、午後Iの問3と問4を、なんとなく。あっという間に時間が経つ。なかなか進まない(文書作成能力の低さを再認識)。 “情報セキュリティ”といっても、物理、ネットワーク、OS…

セキュアなコードへの道は遠い

少し前になるが、InfoQに「頑丈なソフトウェアマニフェスト」というエントリがあった。興味深い。このエントリに対する今の感想を、正直に書きとめておく。 http://www.infoq.com/jp/news/2010/06/rugged-software-manifesto “頑丈な”は“rugged”の日本語訳。…

IPAグローバルシンポジウムに参加してきた

休日出勤の代休を使って、先日開催された、IPAグローバルシンポジウムに参加してきた。まる一日かけて基調講演、情報セキュリティセッション、ソフトウェアエンジニアリングセッションに参加した(すごく疲れたw)。キーワードは、次の3つ。 クラウド セキュ…

WASFカンファレンスに参加してきた

WAS(Web Application Security)フォーラムのカンファレンスに参加してきた。このカンファレンスは、毎年、非常に内容が濃い。また、(昨年度に引き続き)土曜の開催であることと、自費で参加できるレベルの参加費用であることから、会社で「セキュリティ」…