Windowsパスワード解析
今回は、自宅WindowsXPのパスワード解除を検証してみます。 Administratorのパスワード忘れたしまった方、セキュリティーについて考えている方参考にどうぞ。 普段使っているWindowsPCに先ほどのCDを入れて起動させますと・・・ なんとLinux(Ubuntu Linux )がbootするではありませんか!ちなみにCDからブートさせるので WindowsOSは無事です。 しばらくすると、ターミナルが起動し、プログラムが勝手に走ります。 あら、パスワード検索してますよ・・・ すると、5分ぐらいですかね、全ユーザのパスワードが検索されてしまいました。 しかも、それなりに複雑なパスワードだったに・・・。怖いですね〜。 調べてみると、レジストリ内のSAM(Security Account Manager) を総当たりで解析するらしい。 で、対策
それ Unicode で
UTF-7 を使ってスクリプトを記述 +ADw-SCRIPT+AD4-alert(\'XSS\');+ADw-+AC8-SCRIPT+AD4- IE は、文字エンコーディングが不明で UTF-7 っぽい文字列があれば、自動判別で UTF-7 となる。
高木浩光@自宅の日記 - Winnyの問題で作者を罪に問おうとしたことが社会に残した禍根
■ Winnyの問題で作者を罪に問おうとしたことが社会に残した禍根 Winny作者が著作権法違反幇助の罪に問われている裁判の地裁判決がいよいよ明日出るわけだが、有罪になるにせよ無罪になるにせよ、そのこととは別に、独立事象として、Winnyネットワーク(および同様のもの)がこのまま社会に存在し続けることの有害性についての理解、今後のあり方の議論を進めるべきである。 著作権侵害の観点からすればさして致命的な問題ではないと考える人が大半だろう。しかし、情報セキュリティの観点からすると、流出の事故を防止しなければならないのと同時に、起きてしまった事故の被害を致命的でないレベルに止めることが求められる。 これまでに書いてきた通り、Winnyは、従来のファイル交換ソフトと異なり、利用者達が意図しなくても、多くの人が流通し続ける事態は非倫理的だと思うような流出データであっても、たらい回しにいつまでも流通
高木浩光@自宅の日記 - Winny稼動ノード数が先々週末から減少
■ Winny稼動ノード数が先々週末から減少 7月のWinnyノード数調査の失敗の後、プログラムを直し、集計方法を変更して、8月下旬からノード数調査を続けていた。図1がノード数の推移のグラフである。(図中の「×」印で示した極端に値が低下している箇所は、調査用PCがダウンしていたために取りこぼしが起きた期間を表す。) 波長の長い波の周期は一週間で、土曜日から日曜日にかけてピークが出ている。短い周期は一日で、深夜が最大、昼間が最小となっている。祝日に土日並みのピークが見られるところもある。 全体的に僅かながらの減少傾向にあったが、12月2日あたりから1万数千ノードが急に減少した様子が見てとれる。 集計方法は次の通りである。 まず、7月の調査の際には、20万ノード前後という数字を出していたが、この値は、図2のように、見つかったノードを全部巡回し終えた段階で終了する(図中の緑の曲線が赤の曲線に交わ
Windows Vistaのアクティベーションが早速破られてしまった模様 - GIGAZINE
手元にWindows Vistaが動く実機がないので実際には試していないのですが、既にWindows Vistaがベータの頃からいくつかの海外のクラックチームが新型のアクティベーションを破るために活動し始め、RTMが出た時点でほぼ確実に動作するようになり、正規版も同様の手法でクラックされてアクティベーション解除が可能になるツールが海外で出回り始めたようです。 中にはそれらのツールをまとめて1つのISOイメージとして配布している場合もあり、日本語版での動作報告はまだ知る限りでは見あたらないものの、時間の問題ではないかと思われます。 詳細は以下の通り。 これが現時点で出回っているアクティベーションを突破するツールの詰め合わせパック。全部で10種類。 ほとんどのツールは中にファイルが入っており、Windows Vistaの特定のシステムファイルと入れ替えたりするというもの。ですが、中にはこういう
動画ファイルにも危険が潜む,“仕様”を悪用した手口が続出
米McAfeeは12月5日,ファイル形式やプレーヤ・ソフトの仕様を悪用して動画ファイルに“罠”を仕込む手口が続出しているとして注意を呼びかけた。ユーザーの環境によっては,細工が施された動画ファイルを再生するだけで被害に遭う恐れがある。 攻撃者は,ファイル形式やプレーヤ・ソフトの仕様と,別のソフトウエアやWebサイトの脆弱性(セキュリティ・ホール)を組み合わせることで,「動画を再生するだけで被害に遭う」状況を作り出す。 その一例として同社では,12月1日に報告された「QuickTimeビデオ・ワーム」を挙げる(関連記事:MySpaceで感染を広げる“QuickTimeビデオ・ワーム”)。これは,ソーシャル・ネットワーキング・サービス「MySpace」で感染を広げるワーム。細工が施されたQuickTimeビデオ・ファイル(.mov)を開くだけで,MySpaceユーザーのプロファイル・ページを改
ITmedia Biz.ID:優れたパスワードの選定と記憶法
100個のパスワードを覚える必要はない。100個のパスワードを生み出す1個のルールがあればいい。(Lifehacker) 【この記事は、2006年7月5日付で米ブログメディア「Lifehacker」に掲載された記事を翻訳したものです。】 安全で記憶しやすいパスワードを設定すれば、自分は簡単に思い出せて、他人には推測されにくい。 →ほかのLifeHack(ライフハック)関連の記事はこちら 最近は、至るところでパスワードの登録を求められる。何十ものサイトでログインの際に入力を求められるパスワード。ATMで必要なキャッシュカード暗証番号。ワイヤレスネットワークにログインするためのパスワード。皆さんは、どのように新しいパスワードを設定しているのだろう? いや、もっと重要なこととして、どのように記憶しているだろうか。 「すべてに同じパスワード」はダメ すべてに同じ1つのパスワードを使うやり方の問題点
ついに "マッシュアップ・ウイルス”が登場
11月16日,これまで平和な時代を謳歌(おうか)してきたと言えるWeb 2.0の世界に,衝撃的なニュースが走りました。Web2.0が浸透,定着してきたことを“裏側”から示す出来事として,本コーナーで取り上げないわけにはいきません。まずはこちらの記事をご覧ください。 ■「ウイルス作者の新手口,Googleマップで感染マシンの場所を突き止める」 “散弾銃”のように進化したウイルスによる攻撃 マルウエア(Malware)とは,「malicious(悪意ある)」から派生した造語です。いわゆるコンピュータ・ウイルスやスパイウエア,またスパム・メールに仕込まれたフィッシング詐欺のURLなど,多くはネット経由で送りつけられる,悪意あるプログラムやコンテンツの総称です。上記記事によれば,感染の成功率を上げる手口が次の要素(アイデア)を備えて高度化していることがわかります。 1.自ら散弾銃(Wikipedi
今夜分かるSQLインジェクション対策 ― @IT
【関連記事】 本内容についてのアップデート記事を公開しています。あわせてご確認ください(編集部) Security&Trustウォッチ(60) 今夜こそわかる安全なSQLの呼び出し方 ~ 高木浩光氏に聞いてみた http://www.atmarkit.co.jp/fsecurity/column/ueno/60.html Webアプリケーションに対する攻撃手法の1つであるSQLインジェクションの存在は、かなり広く知られるようになった。しかし、その対策はまだ本当に理解されていないように思える。フォームから渡された値の特殊文字をエスケープしたり、PHPのmagic_quotes_gpcといった自動エスケープ機能をオンにするだけで対策したつもりになっていないだろうか。 基本はもちろん、セカンドオーダーSQLインジェクションやマルチバイト文字を利用したSQLインジェクションの攻撃パターンや、その対
FirefoxにDoS攻撃の脆弱性、バージョン2にも影響
Firefox 2と1.5.0.7で、リモートからのサービス妨害(DoS)攻撃につながる脆弱性が報告された。 正式リリースから間もないFirefox 2で、リモートからのサービス妨害(DoS)攻撃につながる脆弱性が見つかったと、SANS Internet Storm Centerが11月1日、サイトで報告した。 影響を受けるのはFirefox 2と1.5.0.7。脆弱性を悪用されると、細工を施したWebページを使って「createRange」でレンジオブジェクトを作成し、DoS攻撃を引き起こすことができてしまうという。 当初Bugtraqに投稿された情報ではコードの実行も可能になるとされていたが、今のところ確認されている影響は、SANSによればブラウザのクラッシュだけだという。 この問題は「NoScript」プラグインで防止できるとSANSのサイトでは解説。ただ、これを使うと多数のサイトと
高木浩光@自宅の日記 - ログイン前Session Fixationをどうするか
■ ログイン前Session Fixationをどうするか 21日の日記「Session Fixation脆弱性の責任主体はWebアプリかWebブラウザか」で、ブラウザベンダはCookie Monster問題をどうするのだろうかということについて書いたが、Firefox 2.0 について調べてみたところ、解決していなかった。また、IE 7 も解決していない。 そのような状況では、セッション追跡がcookieだけによって行われている場合であっても、Session Fixation攻撃に対して配慮せざるを得ない。 これまで、Session Fixation対策といえば、ログイン後の状態をセッションハイジャックされることの防止のみが語られることが多かったが、ログイン前についてはどうだろうか。 たとえば、ログイン前から使えるショッピングカートに対してSession Fixation攻撃が行われると
OBB vs AABB - Radium Software Development
iPhoneの一般修理店は予約なしでも来店できる? 基本的には飛び込みで修理に行ってもOK iPhoneを置いていたソファにうっかりと腰かけてしまい、パネルを割ってしまった、こんな時はスマホの一般修理店へ行きましょう。画面割れは、スマホやタブレットの故障原因として非常に多いものです。予約なしで突然お店に行っても平気かしらと、不安に思う方々もいらっしゃるかもしれません。結論としては特に問題はなく、予約なしで訪問しても画面割れの修理はお願いできます。 ただし他のサービス業のお店同様、予約なしの場合、お店が混雑していると順番待ちをしなければいけないです。特に繁盛しているスマホ修理のお店だと、行列が店内で出来ており、予約なしだと、自分の順番が巡ってくるまで長時間待たされる可能性があります。平日の朝、昼なら利用客が少ない場合が多く、飛び込みでも比較スムーズに修理が頼めます。 予約は入れた方が時短に、
ITmedia News:ブログが就職の「落とし穴」? ググられる学生たち (1/2)
インターネットは、学生の就職活動を便利にした。しかし同時に、学生が陥る可能性のある不気味な「落とし穴」も、同時に作り出したのかもしれない。 米国西海岸で大学院に通うタイラーさん(25)は、このところ就職活動である噂が気になっている。「――企業の人事担当者は最近、Googleで学生の情報を検索しているという。これは本当だろうか?」 実は、タイラーさんは学部生時代に政治関連の雑誌を創刊、編集した経歴がある。彼自身、それを隠したりはしていないが、政治のトピックはとかくデリケートな問題が絡むもの。人事担当者によっては、ネガティブな評価を下すかもしれない、というわけだ。 それでなくとも、アメリカの学生はしばしば「MySpace」などのSNSに複数の写真をアップロードする。その中に馬鹿騒ぎの様子を写した画像が含まれていたり、あるいはポルノ関連のトピックが含まれていた場合、仮にそれが人事担当者の目にとま
窓の杜 - 【NEWS】すべてのスタートアップ項目をツリー形式で一括管理できる「SS Guardian」
各種スタートアップに登録されたアプリケーションを一括管理できるソフト「SS Guardian」v1.00が、6日に公開された。Windows 2000/XPに対応するフリーソフトで、現在作者のホームページからダウンロードできる。 「SS Guardian」は、“スタートアップ”フォルダやレジストリに登録されたアプリケーションを一括管理できるソフト。指定したアプリケーションの起動を一時的に無効化したり、スタートアップ内の変化を監視する機能を備えている。 画面は左右2ペインで、左側には“スタートアップ”フォルダやレジストリなど、各種スタートアップ項目がグループ別にツリー表示される。ツリーには、現在Windowsにログオンしているユーザー固有のスタートアップに加え、すべてのユーザーで共有するスタートアップが個別のフォルダとして表示される。また、レジストリは“Run”“RunOnce”“RunOn
圧縮ソフト「WinRAR」のセキュリティ・ホールを突くウイルス出現
米Symantecは現地時間10月10日,ファイル圧縮・展開ソフト「WinRAR」のセキュリティ・ホールを悪用するウイルス(マルウエア)を確認したとして注意を呼びかけた。このウイルスが含まれる圧縮ファイル(.rar)を読み込むと,攻撃者にパソコンを乗っ取られる恐れがある。 このウイルスが悪用するセキュリティ・ホールは,2006年7月に発見されたもの。WinRARに含まれるライブラリの一つに,バッファ・オーバーフローのセキュリティ・ホールが見つかった。このため細工が施されたファイルを読み込むと,ファイルに含まれる任意のプログラムを実行される恐れがある。WinRARのバージョン3.60ベータ7以降では,このセキュリティ・ホールは解消されている。 バージョン3.60ベータ7よりも古いWinRARで今回のウイルスが含まれる圧縮ファイルを読み込むと,バックドア(そのパソコンに攻撃者が自由にアクセスで
知らされなかったパスワード--ユーザーの死が封印するアカウントと遺族のアクセス - CNET Japan
アイルランドの市民権も持つサンフランシスコの著名な詩人で、世界中にファンがいるWilliam Talcott氏が、骨髄のがんのため6月に亡くなった。そのときTalcott氏の娘は、同氏の知人の大半にその死を知らせることができなかった。それというのも、Talcott氏のメールアカウントとオンラインのアドレス帳がパスワードでロックされていたからだ。 ビートニク(ビート族)Neal Cassadyの友人だったTalcott氏(69)は、どうやらパスワードも墓の中に持って行ってしまったようだ。 これは、残された遺族にとって厄介な問題であり、最近多くなってきている。生活、アドレス帳、予定表、財務情報の管理をオンラインに移行する人たちが増えている。そうした人たちは、フォルダやデスクトップに生前しまいこんだ情報を2度と復元できなくなる危険を冒している。言い換えれば、セキュリティ上の脅威となるパスワードの
メンバー登録が必要なサイトを登録せずに利用する「BugMeNot」 - GIGAZINE
BugMeNotという有名なサイトがあり、ここに行くと共有で使用できるユーザーIDとパスワードが置いてあります。 例えばYouTubeには無料の会員登録をしてログインしないと見ることのできないムービーというのがありますが、そういう場合に使うと会員登録の手間をかけずにすぐに閲覧できるというわけです。 Firefox用の拡張機能やブックマークレットも用意されています。 使い方の詳細は以下の通り。 Bugmenot.com - login with these free web passwords to bypass compulsory registration http://www.bugmenot.com/ 使い方は簡単、ログインが必要なページのアドレスを入力して「Get Logins」をクリックするだけです。 例えばYouTubeの場合は以下のような感じで表示されます。 YOUTUBE
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Default Password List
aguse.jp
http://neta.ywcafe.net/000678.html