http://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/003.html なかなかすごいなぁ。「例えば、PHPを避ける」って･･･ 確かにPHPで作ったアプリケーションは脆弱性が多い傾向があるけど、それって、PHPだけのせいじゃないと思うんですが…

昨日、暑くてむしゃくしゃしたので、例のブツを某所に放置してみたw さて、どうなることやらw

http://suif.stanford.edu/~livshits/work/lapse/ 前に書いたかもしれないけど、ソースコード監査をするツールっぽい

http://www.microsoft.com/japan/technet/security/secnews/community/community070627.mspx うーん、やっぱ醜いなぁorz 編集してくれるのかと思ってたw

というわけで、セキュアコーディングではなくセキュアデベロップメントというものを推進してみたいと思うんだけど、具体的に何をすればいいのか検討していくことからはじめてみる。 開発工程では以下のようなものがあると思うんだな。 要件定義 設計 実装 テ…

ぼけ〜っと話をしていて、安全なアプリケーションを作るには、セキュアコーディングというTIPS的な方法では無くて、セキュアデベロップメントとも言うべき、要件定義から、テストまで含めた開発手法が必要なんじゃないかなぁと思った。 どうも、セキュアコー…

http://www.jipdec.jp/camp/ どうやら、講師と講座内容が公開されたらしい。 毎年思うんですが、参加したいなぁ。この内容で一般向け講座開いてもらえないかなぁw

って、きちんとまとめた方がいいのかなぁ？ 某所からたまにどうやって検査するのか聞かれるんだよねぇ。 基本は異常系のテストなので、それさえしっかりやればセキュリティに特化したテストって不要なはずなんだけど。

http://sourceforge.net/projects/securityscanner/ どうもPHPのコードを検査するツールらしい。

http://www.atmarkit.co.jp/fsecurity/column/ueno/47.html 設計段階というか、要件定義の段階からセキュリティを考慮しておけば、後々楽なんだけどねぇ。 でも、何をやればいいのか具体的に分からないというのが多くの人の意見なんかなぁと思う。 やはり、…

http://www.nikkeibp.co.jp/sj/special/229/

http://w3af.sourceforge.net/ とりあえず、チェック

JSONで動的にデータをやり取りするのって、Javascriptを動的に生成するのとほぼ同じなんだよなぁ。 だから、JSONでデータを生成するときは、ちゃんとしたエスケープ処理(何かはともかくw)が必要となるんだけど、そういったこと考慮して、みんなJSON使ってる…

ふと思ったんだけど、日本語以外のマルチバイトコードのセキュリティってどうなんだろう? 考え方は変わらないんだろうけどねぇ。 日本語のサイトに中国語を食わせてみるとか、影響はないのかなぁと思った金曜日の昼前

なんか、月末は非常に忙しくなりそな予感orz

http://www-306.ibm.com/software/rational/welcome/watchfire/ にゃんと。この間ISSを買ったと思ったらWatchfireもか

http://tools.ietf.org/html/rfc4627 Security considerations: Generally there are security issues with scripting languages. JSON is a subset of JavaScript, but it is a safe subset that excludes assignment and invocation. A JSON text can be s…

朝起きたら、クラクラしたので、午前中は寝てました。でも、未だ復活して無い感じorz

JSONの文字コードってどういう扱いになるんだ？扱っている文字コードの違いでXSSが発生しないのかなぁ？

JSONって、受け取ったデータをeval関数の引数として使うのね。これって、データとコードの区別がつけられないから、非常に危険だと思うんですが･･･ 受け取ったデータにコードらしきものが含まれていたら、意図しないコードが実行されて非常に危険なんだけど…

XMLHttpRequestを使えば、自由に改行が操作できるみたい。 例えば、こんなScriptがあったとすると。 <script> function createHttpRequest(){ if(window.ActiveXObject){ try { return new ActiveXObject("Msxml2.XMLHTTP") } catch (e) { try { return new ActiveXO…

http://myappsecurity.blogspot.com/ なんかよく分からんがw アプリケーションセキュリティエバンジェリストのブログらしい。 人に教えてもらったのでw

ガクブルしながら、サニタイズ済みwの某所にて開催されたXSS祭りに普通の人として参加してきました。 やっぱり、関西の人はすごいです。 しかし、汎用的なXSS対策モジュールみたいなのって、作れないもんですかねぇ?各言語毎に対策モジュールがあれば、すご…

やっぱり、土曜日のバイト疲れが･･･

http://www.strauss.za.com/sla/code_std.html 後で読む 多分かなり、当てはまってるよなぁorz