#pragma section-numbers off セキュリティにかんするカテゴリです * ["クロスサイトスクリプティング"] * ["SSH"] * SecurityLink * PublicKeyInfrastructure * ["暗号技術"] * ["LDAP"] * ["OAuth"] *["SBOM"] *["脆弱性DB"] # メモ {{{ 攻撃者は既知の穴に対して攻撃してくる。 攻撃中に未知の穴が見つかるわけではない。 }}} [http://qiita.com/kuni-nakaji/items/5118b23bf2ea44fed96e nginx - httpsだからというだけで安全?調べたら怖くなってきたSSLの話!? - Qiita] [http://blog.tokumaru.org/2013/04/password-list-attack.html eBook Japanの発表資料に見るパスワードリスト攻撃の「恐ろしい成果」と対策 | 徳丸浩の日記] [http://www.lasdec.nippon-net.ne.jp/cms/12,1284.html ウェブ健康診断 - 財団法人 地方自治情報センター(LASDEC)] [http://www.slideshare.net/uenosen/web-2010-3241609 自分でできるWebアプリケーション脆弱性診断 - デブサミ2010] [http://ferruh.mavituna.com/makale/sql-injection-cheatsheet/ SQL Injection Cheat Sheet] [http://d.hatena.ne.jp/teracc/20070303#1172933785 T.Teradaの日記 OWASP Testing Guide v2] [http://www.geekpage.jp/blog/?id=2006/12/28 Geekなぺーじ:クラッカーがGoogleを使って脆弱なサイトを探す方法の例] [http://d.hatena.ne.jp/teracc/20061121 T.Teradaの日記 ログイン直後のレスポンスの返し方] [http://www.insecuremag.com/archive.html (IN)SECURE Magazine] [http://labs.cybozu.co.jp/blog/akky/archives/2006/09/vulnerable_html_form_game.html 秋元@サイボウズラボ・プログラマー・ブログ: iHack - 脆弱なHTMLフォームの突破ゲーム] [http://orz.kakiko.com/kaeru/fddless.html フロッピーレスPC友の会] [http://www.jumperz.net/texts/csrf.htm 開発者のための正しいCSRF対策] [http://tdiary.ishinao.net/20060331.html#p01 なぜCSSXSSに抜本的に対策をとることが難しいか - いしなお! (2006-03-31)] [http://takagi-hiromitsu.jp/diary/20060409.html 高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由, hiddenパラメタは漏れやすいのか?] [http://www.akiyan.com/blog/archives/2006/03/xsscssebcss.html akiyan.com : 新たなXSS(CSS)脆弱性、EBCSS] [http://www.oiwa.jp/~yutaka/tdiary/20060402.html#p01 こめんと(2006-04-02)CSRF と CSSXSS に関する議論について] [http://freesshd.com/index.php freeSSHd - free SSH server]:win用SSHサーバ [http://www.geocities.jp/winny_crisis/ Winny個人情報流出まとめ] [http://ruffnex.oc.to/kenji/ KENJI'S HOMEPAGE]:暗号アルゴリズムなどが多数掲載されている = 基本知識 = * [http://www.slideshare.net/ockeghem/how-to-guard-your-password Webアプリでパスワード保護はどこまでやればいいか] = アンチウィルス = * [http://www.eicar.org/85-0-Download.html Download ° EICAR - European Expert Group for IT-Security] = コード = [http://labs.cybozu.co.jp/blog/akky/archives/2006/10/google_code_search_hacks.html 秋元@サイボウズラボ・プログラマー・ブログ: Google Code Search のアレな活用法が続々と] [http://shiflett.org/archive/269 Chris Shiflett: Google Code Search for Security Vulnerabilities] = 脆弱性スキャナ = [http://code.google.com/p/skipfish/ skipfish - Project Hosting on Google Code] = パスワード生成 = apg [http://www.forest.impress.co.jp/lib/inet/security/passwdmng/pswdbuttons.html 窓の杜 - PasswordButtons] [http://www.ringolab.com/note/daiya/archives/004549.html Passion For The Future: パスワードの安全性を評価するPassword Evaluation Soft] [http://labs.mininova.org/passclicks/ passclicks]:ビジュアルなパスワード。画像のクリック位置でパスワード生成 [http://www.forest.impress.co.jp/article/2003/09/29/passwordtypeb.html 窓の杜 - 【Review NEWS】マウスカーソルを動かしてパスワードを生成できる「Password Creator TypeB」] [http://gigazine.net/index.php?/news/comments/20060629_password_top10/ GIGAZINE - よく使われるパスワードトップ10] = ハッシュ = RIPEMD160 SHA256 [http://www.aladdin.co.jp/etoken/algorithms.html ハッシングアルゴリズム] = セキュリティポリシー = [http://www.jnsa.org/active_policy01.html NPO 日本ネットワ−クセキュリティ協会 情報セキュリティポリシーサンプルドキュメント] [http://www.jnsa.org/policy/guidance/index.html NPO 日本ネットワ−クセキュリティ協会 情報セキュリティポリシー・サンプル0.92a版] = 参考書籍 = [[ASIN(4883374718 PHPサイバーテロの技法―攻撃と防御の実際: 本)]] [[ASIN(4774127027 Webアプリセキュリティ対策入門 ~あなたのサイトは大丈夫?: 本)]] = 参考サイト = [http://www.ipa.go.jp/ 情報処理推進機構] [http://www.ipa.go.jp/security/ 情報処理推進機構セキュリティセンター] [http://www.lac.co.jp/security/intelligence/CERT/ CERT Advisory] [http://www.itmedia.co.jp/enterprise/articles/0507/07/news001.html ITmedia エンタープライズ:第15回 フリーツールで行うネットワーク脆弱性検査 (1/6)] [http://www.ki.rim.or.jp/~kuro/ActiveX/CabAndSign/MakeCert.html デジタル証明書を作ろう] [http://www.smbc.co.jp/kojin/security/index.html 三井住友銀行 > 簡単!やさしいセキュリティ教室] [http://www.unixuser.org/~euske/doc/openssh/openssh-vpn.html OpenSSH を使った簡易 VPN の構築] [http://degas.is.utsunomiya-u.ac.jp/~zhao/freesw/ovpn2_howto_ja.html OpenVPN 2.0 HOWTO Japanese Translation]OpenVPN 2.0 HOWTO 日本語訳 [http://www.insecuremag.com/ (IN)SECURE Magazine] [http://www.geocities.jp/ikepy0n/SQLInjectin.html SQL Injectionの仕組みと対策] [http://www.microsoft.com/japan/athome/security/online/p2pdisclose.mspx ファイル共有ソフトによる情報の流出について]Winnyでの情報流出の仕組み説明