http://nmap-online.com/ オンラインでNMAPをかけてくれる。悪用すると、アレだけど、Firewallとかがしっかりかかっているか調べるのに使える。 ただし、このサイトが信用できるかどうかは自分で決めないと･･･[12/4追記] 試してみたら、関係のないIPでもスキ…

http://www.atmarkit.co.jp/im/cpm/serial/need03/need03.html 負け癖ついてる今日この頃orz

http://itpro.nikkeibp.co.jp/article/NEWS/20061127/255005/ うほっ。 結構いいかもと思った。特に更新制度は必要だと思う。 更新制度は試験だけでなく、CISSPやCISAのように、セミナーとか業務とかやったらポイントたまって、 ポイントがたまっていたら、…

http://www.securityfocus.com/infocus/1881 RSS Security, JSON, Ajax Security, CSRFについてカバーされてるらしい。 後で読む

アプリケーションのセキュリティ強度は時間とともに低下するといわれる。 作りこんだアプリケーションがほかっていたら、脆弱性がぼこぼこ新しく生まれるもんじゃない。 作りこんだときに最初から存在していた脆弱性が、時間とともに発見される可能性が高く…

http://d.hatena.ne.jp/into_the_blue/20061127#p2 まだまだXSSとかSQLインジェクションとか多いなぁ。

のどが痛いし、耳の下辺りも押すと痛かったりする今日この頃。もしかして、おたふく?

なんで、今更ながらにWebアプリ検査ツールを作りたいと思っているかというと、ま、半分は自分の力試しというのもあるんだけど、自動化されたフリーのツールが無い＆商用ツールが高い＆使えねぇというのが理由だったり。 検査手法はちょこちょことあちこちに…

このところ、一人(涙)で飲みすぎですorz

NTCom2に参加して思ったのは、勉強会に出る人って結構固定してる？ってこと。 参加したところ、知らない人がほとんどだったんだけど、十数人は知ってる人だった･･･ 知らない人も、結構な割合でその人たちで知り合いのようだったし。 やっぱり、こういう勉強…

NTCom2に参加してきた。いろいろ刺激になりました。

http://business.nikkeibp.co.jp/article/skillup/20060822/108396/ 後で読む

http://www21.atwiki.jp/ikepyon/ あくまで、個人的メモなんですが･･･ 例のツールは数年前から考えていて、作っては、やり直してを繰り返してるもんで、いつになるか分かりません･･･^^; 実のところ、設定ファイル読込みの部分は出来てたりするんですが･･･ と…

http://anime.livedoor.com/yawaraka/ なんかツボに嵌ってしまった。 たいきゃくぅ〜

http://blog.ohgaki.net/index.php/yohgaki/2006/06/12/a_a_a_a_a_ra_ca_a_oa_pa_fa_ma_sa_sa_raf 文字コードがらみではいろいろ厄介な問題があるから当然だなぁ。 特にWebアプリ側とRDB側で、文字コードを統一しておかないと危険そうな気がする。 検証が必…

いいところないかなぁ? いい加減作成中のものを頭の中で仕様考えて、設計してでは辛くなってきたので、どこでも書きなぐりができるところがあればいいなぁと思ってるんだけど･･･ ドキュメントとして残せるところは残したいし、みたいな。 livedoorはちと重過…

http://www.owasp.org/index.php/Category:OWASP_Insecure_Web_App_Project 危険なWebアプリのデモを作るプロジェクトっぽい。 でも、WebGoatとかなりかぶってるというか、同じもの? 英語が出来ないから今一分からない･･･orz

http://blog.livedoor.jp/dqnplus/archives/848064.html

ぐったり〜

http://wapiti.sourceforge.net/ Web Application Scannerらしい。 試してみる。python wapiti.py URL [option]で起動すると勝手に巡回してくれるらしい。 ソースコードを見る限り、変なデータを投げて、レスポンスコード500があると脆弱性の疑い有りとして…

http://msdn.microsoft.com/msdnmag/issues/06/11/SQLSecurity/default.aspx 後で読む

けほけほ、くらっ

http://www.efortresses.com/refdocs/2006-Breaches-Matrix.pdf ちと見てみる。

http://www15.plala.or.jp/tera5/pdf/security/char_xss1.pdf 後でしっかり読む。

しっかり寝たはずなのに、だめですわ

http://www.nic.ad.jp/ja/materials/security-seminar/20041004/2-shiotsuki.pdf WASCのトップ10を解説してる感じ? http://www.webappsec.org/projects/threat/v1/WASC_TC-1.0.jpn.doc

http://jeremiahgrossman.blogspot.com/2006/11/web-application-security-professionals.html ぬー、商用検査ツールって結構使われてないのね。 CAL9000なんてものがあるのか。 http://www.owasp.org/index.php/Category:OWASP_CAL9000_Project って、OWASP…

http://www.php.gr.jp/seminar/20060819/security.pdf PHP Conference 2006の資料らしい。ま、至極当たり前なんですが、できてないからなぁorz

なんとなくアンテナの更新頻度とか落ちてたり、メンテ中がしょっちゅう出たりしてる気がするのは気のせいかなぁ?

OWASP Encoding Project http://www.owasp.org/index.php/Category:OWASP_Encoding_Project ざっと見たところ、XSSを起こさせないためのライブラリを作るプロジェクトっぽい。 Java、.NET v1/v2、PHP、Python、Perl、JavaScript に対応してるらしい。 OWASP …