http://www.owasp.org/index.php/Category:OWASP_Pantera_Web_Assessment_Studio_Project Webアプリ検査用のツールっぽい。なんとなく自動検査ツールを目指してる？

http://itpro.nikkeibp.co.jp/article/COLUMN/20061020/251323/ まだまだこれからだけど、面白いかも

http://zone-h.jp/content/view/103/11/ 江戸時代か?w まあ、これくらいやんないと行けないのかもしれないけど･･･ そういえばイスラエルもそんな感じだったと聞いた気が･･･

http://d.hatena.ne.jp/sonodam/20061028#p1 パスワードってあちこちのシステムで必要だから忘れやすいんだよねぇ。なんで勢い同じものとか、幾つかのパターンで使い分けが多くなるわけですよ。 実際私も、どうでもいいところでは簡単な同じパスワードの使い…

昨日そんなに運動してないのに･･･orz

http://www.toyama-cmt.ac.jp/~kanagawa/language/communicate.html なかなか参考になりまする

http://www.h7.dion.ne.jp/~matsu/feature/axis/index.html ちと使うことになったのでメモ

咳が止まりません。そのうちちぃ吐いたりしてw

http://www.human.tsukuba.ac.jp/~hkaiho/mokuhyou.html 後で読む

http://www.securityfocus.com/tools/category/95 結構あるのね

http://www.packetix.net/jp/ ぬ〜、セキュリティ的にどうなんでしょ?

http://journal.mycom.co.jp/column/itsecurity/013/ http://journal.mycom.co.jp/column/itsecurity/014/ 後で読む

http://www.owasp.org/index.php/OWASP_AppSec_Seattle_2006/Agenda なんか色々あるみたい。じっくり見よう。

http://d.hatena.ne.jp/lovelovedog/20060526/p2 まさにIT業界はドリルを売ろうとしてますなw 気をつけないとねぇ。

http://www.owasp.org/index.php/Source_Code_Audit_Tools http://www.owasp.org/index.php/Appendix_A:_Testing_Tools OWASPでもまとめてるんだ。知らなかったorz

http://www.ouncelabs.com/dozen/ Webアプリのコード関係のホワイトペーパーっぽい。 後で読もう

http://www.itmedia.co.jp/enterprise/articles/0610/24/news010.html へぇ多くなってるんだ。 しかし、セキュリティ1.0って･･･

最近、超英人で検索してくる人多いなぁ。

そういや忘れてた･･･ということで11/3に実施します。あいにく3連休の頭ですが、是非是非参加ください。 http://skuf.s-lines.net/hiki/?SKUF+Meeting#l0 ネタは「Hinemosによる運用管理」です。

http://www.securitycompass.com/ コメントで教えてもらったソースコード監査ツール。一応ASP、JSP、PHPに対応しているらしい。 JSPのソースコード監査してみたら、明らかに脆弱性があるのに見つけられなかったorz どうやら、各言語毎に対応したXMLファイル…

http://www.lac.co.jp/business/laboratory/dbsl/matrix/index.html DBに関するセキュリティ対策のドキュメントらしい。

というわけで、その発見方法を考えてみる。といってもたいしたことはないんだがw 使用するフレームワーク、ライブラリの脆弱性 これはさすがにアプリ開発とかそういった問題以前のような気がするので、情報収集だけしといてねって感じ。 仕様による脆弱性 結…

nullなオブジェクトをで表示するとnullって表示されるのねorz 分からなくてずいぶん手間取っちまったよorz

XMLHttpRequestを使って面白いことが出来ないか確認してみた。 IE6だとsendメソッドに改行とか入れられるみたい。 ということは、FTPコマンドとか、Mailコマンドも実行し放題みたいwでも、21、25、110はアクセスできないっぽい･･･うまくスクリプト作ればJava…

ちと、コメントでCSRFのこととかあったので、アプリの脆弱性の分類を考えてみる。 アプリ開発の視点からの脆弱性の分類としてこんな感じかなぁ? 使用するフレームワーク、ライブラリの脆弱性 仕様による脆弱性 設計による脆弱性 処理フローの脆弱性 データフ…

プライベートのメールをGmailに転送するようにしたらSpamが激減したw 当社比30%ぐらいになった気が･･･ もっと早くやっておけばよかったorz一日300件ぐらいSpam食らってたもんなぁ･･･

というわけで、ちと考えてみるw。 ソースコード監査といっても、色々あるけど、今回は、Webアプリケーションに特化した形で考えてみようっと。まず、どんなプログラムも、何らかの入力があって、それを色々加工して、加工した結果を別のプログラムに渡すこと…

http://fedorasrv.com/openldap.shtml おもむろに認証サーバを立てようかと思って、メモ

http://itpro.nikkeibp.co.jp/article/tousei/20061017/250842/?ST=tousei ってのがセキュリティでも重要だよねぇ。 ECサイトとかもセキュリティ対策を隠すんじゃなくて、もっとオープンにしてもいいかなぁなんて。 こんなことやってるから、うちは安全なん…

ちとネタを考え中。 単純に考えれば、入力データがチェックされずに使用されてないかを確認することになるんだけど、これを機械的にできないかなぁと･･･ XSSとかInjection系、BOFとかなんとかできないかなぁと。さすがにセッション管理とかは仕様部分に大き…