アプリを開発していると、どうしても動的に条件が変わるSQL文を作りたくなるときがある。そういった時って、生のSQL文を、入力データのチェックとか、自前のエスケープルーチンとかかけて作っていることが多いんではないか? その方が楽だしなぁ。エスケープ…

http://itpro.nikkeibp.co.jp/article/Watcher/20070402/267147/ なるほど、日本語をそのまま英語にするのではなく、英語にしやすい日本語を英語にしていくのね。 でも、似たようなことやっているかも^^; 私の場合、日本語でまず文章を作るのではなく、日本…

SQL Injection、XSSの検査ツール、とりあえずできたーー♪ OSコマンドインジェクションのテストが残っているけどなw ちょっとバギーなところもあるけど、もう少しですよ。 見栄えが今一だけど、ま、てけと〜に作っているので、ご勘弁をw

http://www.fortifysoftware.com/servlet/downloads/public/JavaScript_Hijacking.pdf http://www.fortifysoftware.com/security-resources/javascripthijacking.jsp AJAXのJavaScriptがのっとれるかも?というレポートらしい。後で読む。 しかし、AJAXって結…

ぶっちゃけいうと、こういったセキュリティ検査の仕様って、本来なら秘密にしておいたほうが、金がもうけられるし、安全といえば、安全。でも、この程度のことって、攻撃する人間はいつも考えていると思うし、それ以上に、守る側や、作る側が知ることが大事…

http://www.devnull.jp/tdiary/20070402.html#p01 厳しいツッコミwがあったので、反応してみる。 とあるページでいろいろと情報を入力するとメールが飛んできて、メールに書いてあるURL(一度限り有効)をクリックすると登録が完了する、みたいなサイトは検査…

http://htmlparser.sourceforge.net/ くそっ、こんなのあったのかorz もうちょっとじっくり調べればよかった。これ使うように修正するかなぁ?

現在作成中の検査ツールでは、XSS用モジュール、OSコマンドインジェクション用モジュール、その他インジェクション及びDirectory Traversal用モジュールを作ってみた。 検出の仕組みは簡単には以下のような感じ。 XSS用モジュール 単純に、レスポンスに指定…