プログラム言語は色々あると思うんだけど、オブジェクト指向型の言語を最初に学ぶのはインスタンスとクラス、オブジェクトの概念の理解が必要なので難しいかなぁと思うのですよ。 http://itpro.nikkeibp.co.jp/free/NIP/NIPCOLUMN/20021126/1/ Javaだったら…

原稿からの現実逃避のために書いてみるw 世の中には幾つか言語があるけど、どういったものがいいのかなぁ? Perlで言語を覚えると、すごいこと（まあ、それこそ呪文のような一見すると分からんもの）になるのであまりお勧めできないし、CはCでポインタの概念…

http://bitarts.net/secure/ とりあえず、メモ

締め切り間近なのに･･･

頼んでた本がキタ〜〜〜〜Professional Pen Testing for Web Applications (Programmer to Programmer)作者: Andres Andreu出版社/メーカー: Wrox発売日: 2006/06/16メディア: ペーパーバック クリック: 8回この商品を含むブログ (2件) を見るHow to Break W…

例のツールのhttpsにバグ発覚orz 配布した人には申し訳ないです。テストに漏れがありましたm(_ _)m 頑張ってバグ取りしてるけど、原因不明。 う〜ん単純なことなんだろうなあ。 (追記) なんとなく、理由が分かった気がする。どうやら当たりだったっぽい。う…

http://secunia.com/advisories/25375/ 昨日メール見てたらNOD32にバッファオーバーフローがとかいうのが流れているなあと思ったら、これだったか。 うち帰ってバージョン調べんとな。

いきなり締め切りすぎてますけどと言われたorz いや、こちらは、全く書くことが決まっていると思ってなかったんですが･･･

http://www.ffortune.net/comp/tidbit/failsafe.htm なかなか面白い

何人かに渡したんだけど、未だ反応がないw テストサイトを使ってテストしただけなので、ほんちゃんで使われているアプリで、どの程度検査できているのか知りたいんだけど･･･。まあ、あのドキュメントじゃテストは無理かなぁ? 本腰入れて、ドキュメントを作る…

仕事でWSH書かんといけなくなったorz VBScriptでXMLをDOMで処理しようとするとむちゃくちゃ汚くなったのでイヤになったorz（まあ、じぶんがむの〜なのが悪いんですがorz） SAXはつかえないっぽいし、綺麗に書く方法はないものか?

http://www.darknet.org.uk/tag/xss こんなものを見つけてしまったw

今公開しているツールには肝心要のシグネチャが全然ないので、別途シグネチャを書く必要がある。 で、そのシグネチャを作るときの参考としては以下のURLを参考にして欲しい。 できれば、作ったシグネチャをフィードバックしていただけると助かるんですが･･･…

原理的にはこんな感じ。 http://webapplicationsec.g.hatena.ne.jp/ikepyon/20041201 モジュールのロジックはこんな感じ http://d.hatena.ne.jp/ikepyon/20070402#p1 まあ、目玉としては、SQLインジェクションの検出ロジックだと思っていたりする（自画自賛w…

一応書いておくと、現状シグネチャはコードテスト用のものが各検査モジュールごとに1個しか作ってないので、これだけで検査するというのはかなり無理があったりする。 そのうちシグネチャはつくっていこうとは思うけど、かなり優先順位は低いんで、できれば…

http://websec-memo.blogspot.com/2007/05/blog-post_19.html たいしたものじゃありません。とはいえ、現在の商用検査ツールでは難しい複数ページ遷移後に脆弱性があるアプリの脆弱性検出くらいはできます。http://www.webappsec.org/lists/websecurity/arch…

とりあえず、出かけるかなぁ

ま、一応一通りは動くことを確認したので、次期バージョンに組み込む機能とか要望で思いついたものを書いてみる。 ・シグネチャファイルのフォーマット変更 書き方が冗長だというツッコミがあったのでw、まあ、それほど難しいことでもないし。 ・検査結果の…

朝から、だるだる。明日は近場の温泉に行くかなぁ?

http://www.fortifysoftware.com/servlet/downloads/public/JavaScript_Hijacking.pdf http://www.schneier.com/blog/archives/2007/04/javascript_hija_1.html#c160667 後で読む

http://codezine.jp/a/article/aid/1271.aspx うーんインターフェースがいいのか?共通部分は別クラスにするのか?今一よく分からんので、今度調べてみる。

さて、どうやって公開しようか思案中。 一応、一般公開ではなく、メールでほしいといってきた人に対して、限定で公開したいのだけど(不正アクセス禁止法幇助対策w)、メールでコードを渡すのが一番手っ取り早いんだが、でかいしなぁ(ソースコードだと２Mぐら…

http://www.geekpage.jp/blog/?id=2007/5/15 なかなか面白い。

[rakuten:book:11157747:detail]

とりあえず、一通りのテスト終了。 さて、どうやって公開しようかなぁ。 まずは、欲しい人にはメールで申し込んでもらうか？ まだ、ドキュメント類が全く整ってないけど･･･

http://www.soumu.go.jp/joho_tsusin/security/j_enduser/ippan06.htm イタタタタ。未だにWEPかorz しかも、MACアドレスによるフィルタリングって･･･ WPAに変更してよ･･･ はっもしかしてDS対応で直してないのか?w

http://www.yakushite.net/cgi-bin/WebObjects/YakushiteNet.woa/wa/main こんなものがあったんだ。知らなかった。

XSSが何故起こって、どういう被害があるのか?と言う解説があったほうがいいかなぁと思った。 単純に言えば、リクエストで渡したデータをそのままレスポンスで返してくることが原因なんだけど、レスポンスとして返すデータの場所というか状態というかそういう…

今日は、人が踏切内に入ったらしい。昨日は人身事故で行きも帰りも電車が遅れたし・・・ いい加減、全てのホームに柵を作ればいいのにと思う今日この頃。

昨日テストしていたら、結構うまく動いている感じ。でも、直した記憶がないんですが･･･w どうやら、小人さんがデバッグしてくれていたらしいw。 というわけで、ソバには間に合いそう。もうちょっとテストして、コードフィックスしようっと。 さて、ドキュメ…