http://msdn.microsoft.com/ja-jp/library/aa302420.aspx後で読む

http://www.jipdec.or.jp/archives/ecom/results/h13seika/h13results-11.pdf http://www.jipdec.or.jp/archives/ecom/results/h13seika/h13results-12.pdf http://www.jipdec.or.jp/archives/ecom/results/h13seika/h13results-13.pdf 後で読む

某所にて以下のようなコードを見つけてしまった。

というのがあったなんて知らなかった。 これを使えば、中途半端な文字コードを使った脆弱性を防げそう。 http://wafful.org/mod_wafful/mod_wafful.c http://lc.linux.or.jp/lc2008/slide/lt-02.pdfこんなことで嘆かなくてよいかも http://blog.ohgaki.net/c…

http://d.hatena.ne.jp/ikepyon/20091119#p1 の件だが、Wininet.dllのバージョン8.00.6001.18876 (longhorn_ie8_gdr.091218-1700)で直っている模様。 やっとって感じだなｗ

コードによる脆弱性が発生する原理は、XSSにしろ、SQLインジェクションにしろおんなじ何だが、理解できてない人には理解できないみたいなようなのでつれづれに書いてみる。 どんなアプリケーションも以下のような構造をしている。 入力データ→モジュールA→デ…

http://www.nttdocomo.co.jp/service/imode/make/content/browser/ ガイドラインといっておきながら、内容が無いようｗ せめてリンクもIPAのトップページじゃなくて、安全なWebサイトの作り方とか、セキュアプログラミング講座とかへのリンクにしとこうよ。 …

開発側でやるべきことを書く前に、アプリケーションの脆弱性についてどこの工程が原因で脆弱性が発生するのかちょっと分類してみる。 あらゆる脆弱性は、以下のどれかといっていいと思う。 仕様の問題による脆弱性 設計の問題による脆弱性 コードの問題によ…

http://www.atmarkit.co.jp/fsecurity/rensai/talk13/talk01.html を読んで、違和感を感じたので書いてみる。 まず、セキュリティというのは当たり前のことを当たり前にさえやっていれば、ある程度防げるものだと思っている。そしてその当たり前のことはそれ…

http://bit.ly/714vsw どうもコードとか設計のセキュリティに関する文書らしい。後で読む

http://d.hatena.ne.jp/ikepyon/20080825#p2 の続き。IE8で検証してみたら、未だに治っていない様子orz でも、一部でできないと言う報告もあるのでよくわからん。少なくとも私のwininet.dllのバージョン8.00.6001.18828(longhorn_ie8_gdr.090826-1700) では…

バインド機能を使えば、ほぼすべてのSQLインジェクションの脆弱性を防ぐことが出来るのは良く知られていると思いたい。しかし、アプリケーションの仕様によっては、検索項目やソート順を自由に変更したい場合がある。この場合、バインド機能では残念ながら対…

http://b.hatena.ne.jp/into_the_blue/20091001#bookmark-16421068 語弊がある言い方だけど、セッションIDってそもそもユーザ認証ではなく、ユーザ識別だと思う。 セッションが生きている場合に限り、どのユーザがリクエストを送信しているのかを識別するも…

http://blog.ohgaki.net/char_encoding_must_be_validated まあ、当たり前にはならないでしょう。どう考えても不正な文字エンコーディングを受け付ける言語やらフレームワーク、DB、ブラウザが悪いと思う。不正な文字エンコーディングをチェックするというの…

http://www.mbsd.jp/event/detail125-desc.html に行ってきたので、簡単なメモ 楽天のインターネットセキュリティの取り組み 楽天におけるインターネットセキュリティの考え方 楽天のシステムは原子力発電所並みの運用体制と安全性を求められている（by 三木…

http://webappsec.sakura.ne.jp/modules/wfdownloads/singlefile.php?cid=3&lid=9 セキュメロの資料を公開した。まあ、ツッコミはいろいろあると思いますが、受けます

http://pixybox.seclab.tuwien.ac.at/pixy/index.php PHP用ソースコードチェックツールらしい。後で試す

http://d.hatena.ne.jp/hideden/20090801/1249142985 アホほど簡単にキャリアのゲートウェイ経由で製造番号を偽造することが出来るらしい。 x-jphone-uidヘッダを付けて送ったらどうなるんだろ？もしかして、上書きされずに追加されて送られる？ 追加だとし…

http://www.cmuj.jp/090829workshop/index.html と言うことで8/29に神戸で話すことになった。 ネタは、開発者がどうすれば安全なアプリを作れるか？という話の予定。 うだうだ言わずに、最低限これさえ気をつければOKみたいな話かなぁ？

改めて読んでみたんだけど、微妙な所がちらほら。 CSRF対策にSSL SSL/TLSの使用リクエスト強要（CSRF）対策に用いる照合情報は、他者に傍受されると都合が悪い。また、リクエスト強要（CSRF）対策が必要となる場面においては、ユーザやWebアプリケーションに…

http://www.lasdec.nippon-net.ne.jp/cms/12,1284.html

http://www.scj.go.jp/ja/info/kohyo/pdf/kohyo-21-d4.pdf http://www.cp.cmc.osaka-u.ac.jp/~kikuchi/weblog/index.php?UID=1246460064 リスク評価とリスク管理は違うと言うことを改めて考えさせられるなぁ。ここら辺結構ごっちゃになってるし^^;

http://tacticalwebappsec.blogspot.com/2009/06/generic-remote-file-inclusion-attack.html 後で読む

http://www.meti.go.jp/press/20090630007/20090630007.html 後で読む

https://blogs.sans.org/appsecstreetfighter/2009/06/14/session-attacks-and-aspnet-part-1/ https://blogs.sans.org/appsecstreetfighter/2009/06/24/session-attacks-and-aspnet-part-2/ 後で読む

http://www.msng.info/archives/2009/06/caracter_reference_on_mixi_diary.php と言うのを見て、確認してみた。 mixiでは、コメントや日記の本文を確認する画面が出てくるが、実際に書き込みするために、hiddenフィールドでデータのやり取りをやっている。…

http://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project ASVS1.0がリリースされたらしい。後で読む

http://www.acrossecurity.com/papers/session_fixation.pdf 後で読む

http://www.logos.ic.i.u-tokyo.ac.jp/~yunabe/download/paper/scis2009.pdf

http://脆弱性診断.jp/specifications/index.html 発注側のセキュリティ要件書。 ざっとみたけど、まあよくまとまっていると思う。でも、要件だしたら必ずチェック方法を考えないとなぁと思うんですが･･･ あと、コレを見てどれくらいの人が理解して使うこと…