ikepyonのだめ人間日記

セキュリティに関することを書いていく予定。

要件定義

セキュリティ機能要件 アプリケーションのセキュリティを考えるとき、必要なセキュリティ機能がいくつか存在する。そしてその要件はほとんどのアプリケーションで大きく変わることがないと思う。以下はそのような不変の機能であると思う。 認証機能 データ暗…

要件定義

要件定義においてセキュリティというと、セキュリティ機能と実装する機能にセキュリティの問題が無いかを確認する必要があると思う。そこで、おのおの考えてみる。 機能要件のセキュリティ 機能の安全性を考慮する際、リスク分析するというのがあるが、これ…

はじめに

RFPを作成する際、セキュリティを考慮する必要があるが、何をすれば、何を書けばいいのかわからないということが多いように思われる。OWASPでも公開(https://www.owasp.org/images/8/88/Web_application_security_requirements.pdf)されているのだけど、何…

また久しぶりw

バレンタインチョコ欲しい! 欲しいプレゼントは…これしかない!PlayStation 3 (160GB) チャコール・ブラック (CECH-2500A) 【メーカー生産終了】出版社/メーカー: ソニー・コンピュータエンタテインメント発売日: 2010/07/29メディア: Video Game購入: 21人…

ひさびさw

MacBook Air 11インチ欲しい! ほんとに欲しいw

Web アプリケーション セキュリティ強化: 脅威とその対策

http://msdn.microsoft.com/ja-jp/library/aa302420.aspx後で読む

ECサイト向けセキュリティ対策ガイドライン

http://www.jipdec.or.jp/archives/ecom/results/h13seika/h13results-11.pdf http://www.jipdec.or.jp/archives/ecom/results/h13seika/h13results-12.pdf http://www.jipdec.or.jp/archives/ecom/results/h13seika/h13results-13.pdf 後で読む

サニタイズ脳?

某所にて以下のようなコードを見つけてしまった。

あつ〜

もう3月も中旬かorz

mod_wafful

というのがあったなんて知らなかった。 これを使えば、中途半端な文字コードを使った脆弱性を防げそう。 http://wafful.org/mod_wafful/mod_wafful.c http://lc.linux.or.jp/lc2008/slide/lt-02.pdfこんなことで嘆かなくてよいかも http://blog.ohgaki.net/c…

XHRのその後のその後

http://d.hatena.ne.jp/ikepyon/20091119#p1 の件だが、Wininet.dllのバージョン8.00.6001.18876 (longhorn_ie8_gdr.091218-1700)で直っている模様。 やっとって感じだなw

コードによる脆弱性が発生する仕組み

コードによる脆弱性が発生する原理は、XSSにしろ、SQLインジェクションにしろおんなじ何だが、理解できてない人には理解できないみたいなようなのでつれづれに書いてみる。 どんなアプリケーションも以下のような構造をしている。 入力データ→モジュールA→デ…

iモードのセキュリティガイドライン

http://www.nttdocomo.co.jp/service/imode/make/content/browser/ ガイドラインといっておきながら、内容が無いようw せめてリンクもIPAのトップページじゃなくて、安全なWebサイトの作り方とか、セキュアプログラミング講座とかへのリンクにしとこうよ。 …

ほんとに安全なアプリ開発に高いコストが必要か? そのに

開発側でやるべきことを書く前に、アプリケーションの脆弱性についてどこの工程が原因で脆弱性が発生するのかちょっと分類してみる。 あらゆる脆弱性は、以下のどれかといっていいと思う。 仕様の問題による脆弱性 設計の問題による脆弱性 コードの問題によ…

ほんとに安全なアプリ開発に高いコストが必要か?

http://www.atmarkit.co.jp/fsecurity/rensai/talk13/talk01.html を読んで、違和感を感じたので書いてみる。 まず、セキュリティというのは当たり前のことを当たり前にさえやっていれば、ある程度防げるものだと思っている。そしてその当たり前のことはそれ…

Code (In)Security

http://bit.ly/714vsw どうもコードとか設計のセキュリティに関する文書らしい。後で読む

安全なアプリへのアプローチ

と言うことをたまに考える。 アプローチとしては2つあって、一つは、フレームワークや、言語側で安全で無い実装は出来ないようにしちゃうというもの。もうひとつは、プログラマを教育すること(これにはコーディング規約を作ってそれを守らせると言うのも含…

セキュアプログラミング教育

Webアプリを作るうえで、SQLやプログラム言語、HTMLの知識は必須だと思うんだ。HTTPは無いよりあったほうがいいが必須か?と言われるとちょっとそうでも無い気がしている。で、SQLとプログラム言語、HTMLを一から勉強する場合、SQLならSQLだけ、プログラム言…

XHRその後

http://d.hatena.ne.jp/ikepyon/20080825#p2 の続き。IE8で検証してみたら、未だに治っていない様子orz でも、一部でできないと言う報告もあるのでよくわからん。少なくとも私のwininet.dllのバージョン8.00.6001.18828(longhorn_ie8_gdr.090826-1700) では…

咳が止まらんorz

咳するたびに腰が痛むorz

動的に検索項目を指定したい場合のSQLインジェクション対策

バインド機能を使えば、ほぼすべてのSQLインジェクションの脆弱性を防ぐことが出来るのは良く知られていると思いたい。しかし、アプリケーションの仕様によっては、検索項目やソート順を自由に変更したい場合がある。この場合、バインド機能では残念ながら対…

何故かあたり前にならないエスケープ処理

私が3年前(2006年)に「SQL Injectionの仕組みと対策」を執筆していた時には、既にJavaScriptインジェクションやSQLインジェクション攻撃は比較的広く知られていました。この問題はそれ以前からスラッシュドットジャパンでも取り上げられていました。/.で取…

だるい

なんかネタが浮かんだので書いてみる。

セッションIDって?

http://b.hatena.ne.jp/into_the_blue/20091001#bookmark-16421068 語弊がある言い方だけど、セッションIDってそもそもユーザ認証ではなく、ユーザ識別だと思う。 セッションが生きている場合に限り、どのユーザがリクエストを送信しているのかを識別するも…

何故かあたり前にならない文字エンコーディングバリデーション

http://blog.ohgaki.net/char_encoding_must_be_validated まあ、当たり前にはならないでしょう。どう考えても不正な文字エンコーディングを受け付ける言語やらフレームワーク、DB、ブラウザが悪いと思う。不正な文字エンコーディングをチェックするというの…

セキュリティ教育と安全なWebサイト開発方法論 〜効果的なセキュリティ教育実施と安全なWebサイト開発の方法を探る〜

http://www.mbsd.jp/event/detail125-desc.html に行ってきたので、簡単なメモ 楽天のインターネットセキュリティの取り組み 楽天におけるインターネットセキュリティの考え方 楽天のシステムは原子力発電所並みの運用体制と安全性を求められている(by 三木…

Webアプリケーション セキュリティ対策は 難しい?

http://webappsec.sakura.ne.jp/modules/wfdownloads/singlefile.php?cid=3&lid=9 セキュメロの資料を公開した。まあ、ツッコミはいろいろあると思いますが、受けます

Pixy

http://pixybox.seclab.tuwien.ac.at/pixy/index.php PHP用ソースコードチェックツールらしい。後で試す

わかりやすい技術文章の書き方

http://www.123kobe.com/doc/writing/ 後で読む

ケータイの流儀を常識と思いこむのは危険

http://bakera.jp/ebi/topic/3883 を見て、入力面倒だからID/パスワード入れなくてもいいように設計しているという簡単ログインにした理由で、個体識別番号で認証しているのなら、個体識別番号をID代わりにして、パスワードに10桁以上の数字を入れること&3回…