http://www.uweb.ucsb.edu/~yuf/paper/DSN04.pdf http://www.isef.or.jp/seminar/2006/reg/060829.pdf http://www.cs.ucsb.edu/~yuf/paper/WWW04.pdf http://ja.wikipedia.org/wiki/%E9%9D%99%E7%9A%84%E3%82%B3%E3%83%BC%E3%83%89%E8%A7%A3%E6%9E%90

http://www.dnp.co.jp/csr/2007/07_004-007.pdf 個人情報管理関係。後で読む

http://japan.zdnet.com/sp/feature/07gwt/story/0,3800080922,20359934,00.htm Ajaxと文字コード関係っぽい。後で読む

http://www.mod.go.jp/trdi/infomation/happyou/Program.pdf セッションG4ちょっとのぞいてみたいかも

http://itpro.nikkeibp.co.jp/article/NEWS/20071029/285786/ なるほどねぇ

単体テスト時にやらなきゃいけないテストってどんなものかねぇ？ 多分クラスなり、関数なんかの機能によってやらなきゃいけないパターンって作れそうな気がする。 例えば、DBにアクセスするクラスであれば、「'」を含むデータをメソッドの引数で渡してみて、…

http://www.atmarkit.co.jp/fsecurity/column/ueno/49.html 面白そう。一度ツアーでも組んで行ってみたいw

セキュリティ検査ツールもテストツールもやることは同じ（各パラメータをテスト用のデータに書き換えて送信する)で、その判定方法が異なる(テストツールの場合は予想する結果が表示できるかどうか、検査ツールの場合は、システムエラーが出るとかalertが実行…

http://itpro.nikkeibp.co.jp/article/COLUMN/20071011/284152/?P=1&ST=develop 後で書くかも。

http://ha.ckers.org/blog/20071014/web-application-scanning-depth-statistics/すげー脆弱性を見つける検査ツールって、これか。 http://www.ntobjectives.com/products/ntospider.php

http://japan.zdnet.com/sp/feature/07secchallenge/story/0,3800078690,20353191,00.htm 団体の問題か？って気がしないでもないが･･･

http://xssed.com/ こんなものがあったのか

最近出てきているセキュリティテストのテストケースは結合テスト時の奴なんだよねぇ。 単体テストのテストケースサンプルみたいなのがあれば、単体テスト時にチェックできる&コード書くときに気をつける点が明確になる(反面サニタイズ脳が増える可能性もある…

某ツールでは、メタ文字が有害文字となってるんだよなあ。どうも、あちらの人って、危ないモノは排除って感じなので、文化の違いかなあとふと思った。頭が異体秋の夜

萌えってわからないから、オタクじゃないですよぅ。

http://www.darkreading.com/document.asp?doc_id=136139&f_src=darkreading_section_296 後で読む。開発時の悪意あるコードの混入についてっぽい。サラミコードとか？

id:comikenさんにトラックバックされてしまったら、変な考えが出てしまったorzはしっかり者の妹ってどう？が「お姉ちゃんは仕方がないなあ」とかいいながら、皆をタグから解放してあげるとかw で、"と'は<>の従姉妹で、容姿端麗、頭脳明晰の姉妹なんだけど、…

と言うのを昨日カッとなったので考えてしまったorz今は反省している。 メタ文字たんは基本ドジっ娘と言うことにw で、は双子の姉妹らしいw

http://nvd.nist.gov/download.cfm 2002年からのCVEのデータがXMLである。統計データ取るのによさげ。

http://www.ipa.go.jp/security/vuln/vuln_contents/ たまたま見つけたのでw一応こっちにも書いておく どこかで見た記憶があると思ったら、id:hanazukinさんのとこだったw http://d.hatena.ne.jp/hanazukin/20070712/1184252586

Blind SQL Injectionの攻撃例って条件式でSQL Injectionが発生するケースのものなんだよなぁ。InsertやUpdateの更新データとか、ストアドプロシジャの引数での例ってあんまり見ない気がする。実際問題どうやればよいかというと、やり方は想像つくんだけど、…

まあじっくり考えんでも、スクリプトコードの中で入力データ使われてたら対策が面倒ですな。実際のところそういったケースってあるのかな？ 某所にて、XSSとかの説明が似たり寄ったりで面白くないと言われたのでw、XSSの脅威のひとつの例として、暇ができた…