http://d.hatena.ne.jp/hideden/20090801/1249142985 アホほど簡単にキャリアのゲートウェイ経由で製造番号を偽造することが出来るらしい。 x-jphone-uidヘッダを付けて送ったらどうなるんだろ？もしかして、上書きされずに追加されて送られる？ 追加だとし…

http://www.cmuj.jp/090829workshop/index.html と言うことで8/29に神戸で話すことになった。 ネタは、開発者がどうすれば安全なアプリを作れるか？という話の予定。 うだうだ言わずに、最低限これさえ気をつければOKみたいな話かなぁ？

改めて読んでみたんだけど、微妙な所がちらほら。 CSRF対策にSSL SSL/TLSの使用リクエスト強要（CSRF）対策に用いる照合情報は、他者に傍受されると都合が悪い。また、リクエスト強要（CSRF）対策が必要となる場面においては、ユーザやWebアプリケーションに…

昨日書いたネタの続きだけど、そういえば、iモードIDって送信されないこともあるんだった。 http://www.nttdocomo.co.jp/service/imode/make/content/ip/#imodeid SSL使ってる場合、昨日のコード使えねぇじゃんw 結局、PHPのセッションIDきちんと使いましょ…

ワッサーでつぶやいていて、PHPで個体識別番号をセッションIDとして使う方法を教えてもらった。http://wassr.jp/user/nihen/statuses/skctoRFZ3G 目からうろこが落ちた。 http://pastebin.com/m74e…

http://www.lasdec.nippon-net.ne.jp/cms/12,1284.html

あちこちのサイトや本で初心者向けと称してサンプルコードが幾つか載っているのがあるけど、その多くはセキュリティ上問題があることが多い気がする。まあ、実例を挙げると名誉毀損で訴えられるとやなのでやらないけど（意気地なしｗ） 例としてあげるとこん…

http://www.scj.go.jp/ja/info/kohyo/pdf/kohyo-21-d4.pdf http://www.cp.cmc.osaka-u.ac.jp/~kikuchi/weblog/index.php?UID=1246460064 リスク評価とリスク管理は違うと言うことを改めて考えさせられるなぁ。ここら辺結構ごっちゃになってるし^^;

http://tacticalwebappsec.blogspot.com/2009/06/generic-remote-file-inclusion-attack.html 後で読む

http://www.meti.go.jp/press/20090630007/20090630007.html 後で読む

というわけで、はてなTシャツ2009欲しい！

https://blogs.sans.org/appsecstreetfighter/2009/06/14/session-attacks-and-aspnet-part-1/ https://blogs.sans.org/appsecstreetfighter/2009/06/24/session-attacks-and-aspnet-part-2/ 後で読む

http://www.mew.org/~kazu/doc/japanese.html 後で読む

http://www.msng.info/archives/2009/06/caracter_reference_on_mixi_diary.php と言うのを見て、確認してみた。 mixiでは、コメントや日記の本文を確認する画面が出てくるが、実際に書き込みするために、hiddenフィールドでデータのやり取りをやっている。…

http://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project ASVS1.0がリリースされたらしい。後で読む

いろいろ難しいorz

ある本（確かMSのセキュアプログラミングの本だったと思う）に、「セキュリティテストなんてムダだからオレやんないよ」と書かれていた記憶がある。その他、コードレビューしとけばセキュリティテストいらないんじゃね？という話も聞いたり、聞かなかったり…

http://www.acrossecurity.com/papers/session_fixation.pdf 後で読む

http://www.logos.ic.i.u-tokyo.ac.jp/~yunabe/download/paper/scis2009.pdf

前回ツールの欠点を書いたけど、Disるだけではひどいので、ツールを使う利点と言うのをあげてみるｗ 検査工数を大幅に減らせる 自動検査ツールを使わない場合、WebScarabとかProsなどで、手動で検査しなくてはいけないわけだが、コレが意外と手間がかかる地…

とまぁ、要件に対するチェック方法として、自動検査ツールを使うと言うのは一つの解だと思う。しかし、現状の検査ツール（商用、フリー問わず）で全ての脆弱性が見つけられるわけではない。とはいえ、非常に簡単なボットなどで利用されるような脆弱性はある…

http://脆弱性診断.jp/specifications/index.html 発注側のセキュリティ要件書。 ざっとみたけど、まあよくまとまっていると思う。でも、要件だしたら必ずチェック方法を考えないとなぁと思うんですが･･･ あと、コレを見てどれくらいの人が理解して使うこと…

いろいろつぶやいていたら、某氏にBlogに書けといわれそうなのでｗ 設計や仕様レベルの脆弱性（CSRFとか、Amazonのウィッシュリストのように悪用できる仕様とか）では、リスク分析やセキュリティ対策を考えなけれならない。これは、コーディングでどうにかす…

http://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis 詳細を見ておく

ヤクがないと生活できないorz

夫ユーザがXSSという、バグのような脆弱性のようなものに熱中しています。やってみたら？と言われて地球防衛軍で監視したところ、平日・休日関わらず、一日のうちに何度も、攻撃がされていました。alert(document.cookie);やjavascript:alert(document.cooki…

http://www.milw0rm.com/papers/288 後で読む

金曜日のデブサミにて、自動コード生成ツールの話が出ていた。カスタマイズで脆弱性が混入するかもと言われていたけど、もっと大きな問題があると思う。自動コード生成ツールにバグがあり、生成されたコードに脆弱性があった場合どうするのか？という点だ。 …

この間のまっちゃでチラッと話した政府が出している要件ってこれ。 http://www.nisc.go.jp/active/general/pdf/dm4-01-061_sample.pdf http://www.nisc.go.jp/active/general/pdf/dm6-03-051_sample.pdf http://www.nisc.go.jp/active/general/pdf/dm6-07-07…

昨日、ざっくり数冊のPHP入門書を見たのだけど、がっくり来たorz 結構サンプルプログラムに脆弱性があったり、記述がだめだったりしているorz こういうのがあるからダメなんだろうなぁと思った。 元々PHPは簡単という評判になっているので、プロのプログラマ…