Play fuzzdb！

この前、Google code にあるfuzzdbを使ってみました。

fuzzdbとは、Webアプリケーションにあるさまざまな脆弱性について、検出するためのパターンをリスト化したものです。

これらのデータをツールの入力値に活用すれば、診断スキャナーとして利用できますね。
それだけでなく、個々パターンを見ることで、手動の診断をする際にとても参考になることが多くありました。

とても便利なデータなので今回紹介したいと思います。

Last time, I got a useful tool "fuzzdb" on the Google code.

"fuzzdb" is vector lists detecting many vulnerabilities in the Web application. 

If you use them as a attacking signature, this tool be on good scanners.

and more, by looking over individual patterns, I found many helpful tips on the scanning of the Web application pen-testing.

That's why this lists is very helpful tools I wanna show you.

①

以下のURLにアクセスします。

Access the following URL.

http://code.google.com/p/fuzzdb/

②

ダウンロードしたディレクトリを展開します。

Decompress and expand the files.

③

展開後のディレクトリ構成は以下のようになっています。

Directory trees of decompressed file are the following.

④

今回は、attack-payloads の中をみてみましょう。

This time, I'll show you inside the "attack-payloads" directory.

さまざまな攻撃パターンが種類ごとまとめられています。

例えば、xssはクロスサイトスクリプティングの攻撃パターン、sql、ldap、xpathはそれぞれのインジェクション攻撃でのパターンとなっています。

You can find many attack vectors in it.

For example, the directory of "xss" is list of xss attack patterns, and you know, "sql"directory, "ladp"directory, and  "xpath" directory has lists of injection attacks on each.

⑤

以下はxssの攻撃パターンの内容です。

The following lists are patterns of XSS attacks.

非常に多くのパターンが書かれてあります。

Probably, you can find lots of patterns in the lists.

⑥

もう１つ、disclosure-directory をみてみましょう。

More,  Look at the "disclosure-directory".

source-directory-file-indexing-cheatsheet.html を見てみます。

And then,  we'll browse "source-directory-file-indexing-cheatsheet.html".

⑦

ここには、サーバソフトウェアで発見されている既知の脆弱性を利用し、ソースコード、ファイルなどを発見する方法が書かれてありました。1つにまとめられてあり、とても参考になります。

In this contents show how to detect source code on the application, some default files and directories with known vulnerabilities.

They are summarized on one page, so It's really useful. 

ｆuzzdb、まだいろんな役立つ情報があるようです。

いろいろ試してみますのでまた紹介します。

Well, 

Today, I have introduced some functions on "fuzzdb", but just a detail.

Of course I'm going to use other functions later, The results will show up someday.

Thanks!

今日は資格の話をしたいと思います。

みなさん、CISSPという資格をご存知でしょうか？

CISSPは「Certified Information Systems Security Professional」といって、(ISC)²（International Information Systems Security Certification Consortium）というアメリカ非営利団体が認定する情報セキュリティのプロフェッショナル資格です。

要するに「情報セキュリティ専門家」と認定される資格ですね。

昨今の情報システムの安全性を求める声が高くなり、セキュリティ専門家の役割は日に日に増しているといえるでしょう。セキュリティベンダーはもちろんのこ と、SIベンダーや、監査業界、証券や銀行の金融業界などから幅広いニーズがあります。

現在（2010年6月）日本でのCISSP認定者は1214人。アメリカの42,260人や韓国の2,452人と比べると多い数字とは言えませんね。かく ゆう私も昨年取得しました。

試験は250問の選択制で、以下の項目から出題されます。

1. 情報セキュリティとリスクマネジメント
2. セキュリティアーキテクチャと設計
3. アクセス制御
4. アプリケーションセキュリティ
5. 運用セキュリティ
6. 暗号学
7. 通信とネットワークのセキュリティ
8. 物理（環境）セキュリティ
9. 事業継続と災害復旧の計画
10. 法、規則、コンプライアンス、捜査

時間はなんと6時間！
トイレや間食などでの途中退席は可能ですが（もちろん間食は監視員が見える場所でとらなくてはなりません）、やはりこの時間は疲れました。

最近はセミナーなどでポイントを押さえた短期集中型のコースもあるようですが、何せお金がかかります。（たしか40万以上はする）

私の場合、こんなお金を払えないので独学で受けました。
独学で受けても難しいのではと思うかもしれませんが、なかなかそうではありません。

どのような学習をしたのかは、また今度お話しますね。