某所のところのために、幾つか調査中。 php系のコードジェネレータは２つしか調べてないけど、どれも、ダメっぽいorz コードジェネレータなんだから、SQL Injection対策ぐらいはしておいて欲しいなぁ。そんなに難しいもんじゃないんだし･･･ その点、Java系は…

http://itpro.nikkeibp.co.jp/article/Watcher/20070129/259927/ う〜むなるほど、もうちょっとがんばってみるかなぁ?(謎

http://itpro.nikkeibp.co.jp/article/Watcher/20070126/259774/ (3)図や絵を書く時は必ず，キーとなる「何を言いたいのか」という文章を書かせた。 これって良くわかるなぁ。この間のSIの資料なんか全然分からんかったし･･･ 後から見直すor知らない人にも見…

最近のウィルスや、ワームにはVM上では症状が発現しないものもあるらしい。これを逆手にとって、ホストOSでもVM上と同じ挙動をして、感染しても症状が発現しないドライバとかパッチとかあったら面白いかもw いや、あくまでネタですが。

ちと、某所で必要になったので調べ物。どこで使うかは後でのお楽しみということでw OpenXava http://www.gestion400.com/openxava/portal/ JAG http://jag.sourceforge.net/ appfuse https://appfuse.dev.java.net/ middlegen http://boss.bekk.no/boss/midd…

http://www.zeroknock.metaeye.org/mlabs/expjson.html JSONを使った攻撃方法の解説っぽい。 後で読む。

下痢がやっと直ったっぽい!！水曜日からだからすげ〜かかったなぁ

http://www.owasp.org/index.php/Category:OWASP_Live_CD_Project Webアプリケーション検査ツールを集めたディストリビューションっぽい。後で落としてみてみようっと。

http://japan.internet.com/developer/20070123/27.html var obj = eval( {"person" : { "firstName" : "John", "lastName" : "Brown", "age" : 30, "sex" : "M" } } );//個人の名をポップアップ表示する alert(obj.person.firstName); なるほど、eval関数を…

https://www.owasp.org/index.php/Category:OWASP_LAPSE_Project ソースコード監査用のツールらしい。 一応以下のことがチェックできるみたい。 * Parameter manipulation * SQL injections * Header manipulation * Cross-site scripting * Cookie poisonin…

http://myappsecurity.blogspot.com/2007/01/ajax-sniffer-prrof-of-concept.html 後で読む こっちの方が面白いかも? http://myappsecurity.blogspot.com/2007/01/breaking-same-origin-barrier-of.html http://myappsecurity.blogspot.com/2006/11/comparis…

また無駄に歳を取ってしまったorz 「イエカキ 理想の住まい」オリジナルクオカードが欲しい！

http://blog.nikkeibp.co.jp/pconline/security/2007/01/sonoda010.html 難しいパスワードを自分しか見れない場所(自分の手帳とか、携帯とか)に書いてしまうというのは、有りだと思う。但し、パスワードを書いた紙をディスプレイに貼り付けておくとか、机の…

http://gihyo.jp/serial/2007/php-security/0001 興味深い。PHPって簡単に書けるのはいいんだけど、結構仕様に罠があるしなぁ。ま、設定をしっかりしとけばいいんだけど、そこら辺を忘れてると色々とねぇ。 だからといって、JSPやASPがいいかというとそうい…

http://maruyama-mitsuhiko.cocolog-nifty.com/security/2005/01/isms.html 全くその通りだと思う。結構ISMSの認証取得が目的とかしてるところ多いよねぇorz セキュリティ対策の運用がしっかり出来ていることを客観的に確認するための道具のはずで、ISMS認証…

http://www.microsoft.com/presspass/itanalyst/docs/ESGNov2006SQLServerSecurity.pdf SQL Serverが安全だという文書。 ま、MSにあるから割り引くにしても、確かに最近あまり見かけないかも。

http://www.spidynamics.com/assets/documents/AJAXdangers.pdf 後で読むこれはともかく、といろいろ考えてみると、eval関数の引数としてサーバからのレスポンスを使っているとまずいことが起こるのね。アプリによっては受け取ったデータをもとに、動的にコ…

http://javala.cs.tut.fi/en/welcomePage.do

http://www.owasp.org/index.php/OWASP_Code_Review_Guide_Table_of_Contents こちらはまだまだ見たいだけど、ソースコードレビューのガイドライン。 結構良いかも

http://www.owasp.org/index.php/OWASP_Testing_Guide_v2_Table_of_Contents 前にも書いたかもしれないけど、これが最終段階に入ったみたい。 ざっとしか見てないけど、攻撃手法について細かく書かれているみたい。

Webアプリ検査ツールのフリー版って幾つかあるけど、基本的にマン・イン・ザ・ミドルができるProxyか毛の生えた程度の自動検査しかしてくれない。これって、お金のないところにとっては結構辛いところだと思うのですよ。 フリーのツールで検査しようとすると…

Webアプリ検査ツール作るときに、レスポンスが同じかどうかをチェックする必要があるんだけど、どうすればいいんだろう?ってまだまだ先の話なんだけど･･･ ふつ〜に考えたら、入力データが異なれば、レスポンスが違うのは当たり前なので、単なる比較では誤検…

http://www.keyman.or.jp/3w/prd/95/30002095/ こんなものもあるんだ。OSSって色々あるなぁ。

http://www.iza.ne.jp/news/newsarticle/event/crime/34326/ 何がすごいって、所長さんの「個人情報じゃないけど何かあったみたい。ダウンロードしてなかったのに入ってきて、何か入っちゃったんだよね。」って奴。普通の人の感覚ってこんな感じなんだろうな…

http://www.itgi.jp/pdfdata/IT_Control_Objectives_for_Sarbanes-Oxley_2nd_Japanese.pdf 暇なときに読む

CSRF Guard https://www.owasp.org/index.php/CSRF_GuardPDF Attack Filter for Java EE https://www.owasp.org/index.php/PDF_Attack_Filter_for_Java_EE 例のPDFを使ったXSS対策をするものみたい。ざっと見たところ、URLの最後に「#a」をくっつけてリダイ…

ちと、調べ物 http://itpro.nikkeibp.co.jp/article/COLUMN/20061106/252654/ http://www.eweek.com/article2/0,1895,1998795,00.asp http://www.eweek.com/article2/0,1895,1978119,00.asp http://www.blackhat.com/presentations/bh-usa-06/BH-US-06-Hoffm…

今年こそ、例のブツを作り上げようっと。だいたい何年かけとるんやってくらいかかってるしw 仕事の方はまあぼちぼち、やっていくということで･･･ 後はコミュニティ関係でいろいろやるということで