なんか、マインドマップが使いづらく感じる今日この頃。枝のこれとこっちの枝は関連してるとかも1つ分かりづらい気がする。 うーん、やっぱり木構造なのがいまいちなのか。網の目構造なら結構分かりやすいかもなぁ。なんかツールないものかなぁ。

http://www.bits.go.jp/active/general/kijun01.html http://www.bits.go.jp/active/general/feedback.html 後で読む。って気力あるかなぁ?

http://nikkeibp.jp/sj2005/column/u/02/ うーん、色々考えてたら、ボットネットの利用方法をまた思いついてしまったw 最近こんなのばっかりだなぁw

http://nikkeibp.jp/sj2005/special/76/index.html なかなか面白い。セカンドオーダーSQLインジェクションってのは知らなかったなぁ。でも、プログラム内部で生成されたデータ以外は環境変数だろうと、ファイルから取ってきたものだろうと、DBからだろうと信…

ねむる部 AM2:00〜AM7:50

http://www.atmarkit.co.jp/news/200512/09/websec.html 誰も彼もが悩んでるんだねぇ。SKUFでも出てたけど発注側が値段だけでなくて品質を見るということが必要なのかもね。とはいえ、セキュリティを含めた品質を客観的に見る指標というのも難しいよねぇ。 …

このところ立て続けにSQLインジェクションの問題が頻発してるんですが、これをWAFで防ぐ設定方法とかあるとうれしい人いるかねぇ?正規表現とかでやれば出来そうだから、暇つぶしに作るんだけど、結構面倒かもねぇ。

と思ってどんなけ時間たってるんだろうorz Webアプリ検査ツールも中断してるし、和訳プロジェクトも頓挫･･･ あーいろいろやらないとなぁ。ねむる部 AM2:00〜AM7:50

http://www.itmedia.co.jp/enterprise/articles/0512/07/news044.html 当たり前のことですが。

http://www.atmarkit.co.jp/news/200512/08/itr.html そうなのかぁ。ま、こういうのは結構怪しいからあまり期待せずにいこうw

ねむる部 AM1:30〜7:10そろそろアレも告知かなぁ。地道に準備が進んでます。 関東の人は待っててねって感じでw

http://www.jnsa.org/active/houkoku/web_system.pdf すげー、きちんと読もうっと。とりあえず読んでみた。 パターン２、パターン３のRFPならいろいろ提案できそうだけど、パターン１はちょっとなぁ。 特に「１.入力検証及び不正データ入力時の無効化」って…

http://www.smbc.co.jp/kojin/security/index.html 結構いいかも。でも一般的にはフィッシングのリンク先のチェックでFQDNの部分が違ったらおかしいのでというのはちょっとなぁとか思った。サイトにXSSの脆弱性があればFQDNがあっててもパスワードとか盗み出…

ねむる部 AM1:30〜AM7:55 目覚ましがならなくて危うく遅れるところだった。

も一つついでに■いことをwって大したことじゃないけど。 Google APIとかYahoo APIとか使えば脆弱性のあるフリーのBBSとかのWebアプリを使ってJavaScriptワームを作るの簡単そうだなぁとふと思った。ま、前から作れたんだけど、より簡単になった気が･･･。実際…

よく耳にするボットネットネタってほとんどがSPAMとかDoS攻撃に利用されているものとかだけど、侵入攻撃の踏み台代わりにするボットネットってないのかなぁ。イメージとしてボットネットに侵入攻撃用コード（BoFのコードとか）を送り込んだら、適当(ランダム…

ねむる部 AM2:50〜AM7:50 やっぱり少なすぎ･･･orz

最近の欠陥住宅報道を見て思ったことはチェック機関が民間だからまずかったという論調はおかしくないか？ 民間だからチェック出来なかったというのはしっかりチェックしてるところに対して失礼だぞ。 コストかかるから手を抜くって決まってるわけじゃない。…

http://blog.japan.zdnet.com/itil/a/000250.html とりあえずメモ

ねむる部 AM2:00〜AM7:30 うーん少ないなぁ なんか、自分がいらない人としか思えなくなりつつある今日この頃orz 仕事が出来ないやつだなぁと落ち込むばかりorz いかんHGゴッグと聞いて、ハードゲイな服(ピチピチの皮のジャケットと短パン＆皮の帽子)を着たゴ…

DataBase Hack本 The Database Hacker's Handbook: Defending Database Servers(ASIN:0764578014)結構面白そう。でも検査しないからなぁ。

http://www.itmedia.co.jp/enterprise/articles/0512/01/news118.html マジですか?結構これは影響大きそうだ。うーん、微妙な感じがしてきた。

ねむる部 AM1:30〜AM7:30 ちょうど6時間。でも一寸眠い

http://www.yamdas.org/column/technique/21-daysj.html うーん、そうかもなぁ。でも、私ほとんど独習なんだよねw。BASICに始まり、アセンブラかじって、Cかじって、Perlかじって、Javaかじって、ってほとんどかじってるだけやんorz。 まともに教えてもらっ…

現状ではいけないとわかっていつつ、なにかすごいものがあると思ってそれに期待するってのは意味ないなぁと思う今日この頃。わかっているなら、ちょっとした変化を受け入れ、自分が変化しないとどんなものを導入しても結局失敗するだろうなぁと思った。 ま、…

http://maruyama-mitsuhiko.cocolog-nifty.com/security/2005/12/post_9124.html#more 完全性が保障されてないのね･･･こういうのってSOX法の対象になりそうですなぁ。

睡眠時間の記録でもつけようかなぁ? ということで、ねむる部開始w AM 1:30〜AM7:10 一寸少ないよねぇ

http://japan.linux.com/security/05/11/27/124238.shtml 面白そうなので後で読む

という今日この頃

http://itpro.nikkeibp.co.jp/article/OPINION/20051125/225162/ ネタ的に前回のSKUF Meetingでやったことですなw http://skuf.s-lines.net/hiki/?report-2005090301 でもこれって結構難しいのよね。 大体本来ならこんなこと受け入れ側は知らなくてもいいは…