試そうと思ってたアレは影響が小さいことを知って、ちょっとアレorz

http://www.lulu.com/content/1415989 OWASPのコードレビューガイド。ダウンロードは無償らしいので、落として読んでみる。

http://www.codeproject.com/Ajax/Security_threats_in_ajax.asp AJAXのセキュリティっぽい。

http://enterprisezine.jp/article/detail/225 非常に睡眠時間が少ない酒好きの人へｗ

アレを試そうと思って、調べ中

http://monoist.atmarkit.co.jp/fembedded/articles/embeddedsecurity/01/embeddedsecurity01a.html なかなか面白そうな連載だ

http://www.rakuten.co.jp/event/10th/tech/conference/index.html Matzさんや武田先生が講演されるので、参加の方向でｗ

http://www.nttdata.co.jp/cview/guideline.html ちと読んでみる。中身見てないのでアレだけど･･･

http://www.nisc.go.jp/active/general/kijun_man_index.htm いろいろありまんがな。中でも、6章あたりが面白いかな？ じっくり読んでみよう。 このあたりがよさげ？ http://www.nisc.go.jp/active/general/pdf/dm6-03-051_sample.pdf http://www.nisc.go.jp…

かったるい一日。

昨日の日記にHiddenを使って、値をページ間で受け渡しするのは「シーラカンスなアプリケーション」と書いたけれど、実際のところ、どうしてもHiddenを使用しなければならないケースというのが存在する。それは、多くの場合、たぶん以下の4つ(もしかしたら1と…

最近のDELLのキーボードはスペースバーがスペースキーになっていてすげ〜打ち辛い。何とかならんものかorz

前にも書いたかもしれないけど、今ある検査ツールのほとんどが特定のデータをリクエストとして送信した場合に、エラーとして表示される文字列を検出していたり、正常ケースのレスポンスと比較して異なっていたら脆弱性ありとかしている。エラーメッセージと…

http://d.hatena.ne.jp/ockeghem/20071104/1194187563 を読んで、これは生きた化石の設計だなぁと思ったｗ 元々、HTTPはステートレスなので、複数ページに渡って内部データをやり取りしたいために、Hiddenと言うものが使われてきたんだと思うんだが（実際の…

今日は朝からひどい夢を見たorz

http://www.mcafee.com/japan/about/prelease/pr_07b.asp?pr=07/11/01-1 このサービスってかなりびみょ〜な気が前からしてるんだけど。確かにユーザとしては安全だと言うことが分かってうれしいんだけど、危険と言う指標が表示されたら、クラッカーホイホイ…

今回の記事は食いつきがいいぞw やはりXSSの話は食いつきがいいのか？ｗ次回はSQLインジェクションを予定しているのだけど、どうだろうねぇ。まあ、書くネタはSQL Injectionの仕組みと対策あたりの焼き直しを検討中。 後はSQLインジェクションと文字コードが…

http://www.uweb.ucsb.edu/~yuf/paper/DSN04.pdf http://www.isef.or.jp/seminar/2006/reg/060829.pdf http://www.cs.ucsb.edu/~yuf/paper/WWW04.pdf http://ja.wikipedia.org/wiki/%E9%9D%99%E7%9A%84%E3%82%B3%E3%83%BC%E3%83%89%E8%A7%A3%E6%9E%90

http://www.dnp.co.jp/csr/2007/07_004-007.pdf 個人情報管理関係。後で読む

http://japan.zdnet.com/sp/feature/07gwt/story/0,3800080922,20359934,00.htm Ajaxと文字コード関係っぽい。後で読む

http://www.mod.go.jp/trdi/infomation/happyou/Program.pdf セッションG4ちょっとのぞいてみたいかも

http://itpro.nikkeibp.co.jp/article/NEWS/20071029/285786/ なるほどねぇ

単体テスト時にやらなきゃいけないテストってどんなものかねぇ？ 多分クラスなり、関数なんかの機能によってやらなきゃいけないパターンって作れそうな気がする。 例えば、DBにアクセスするクラスであれば、「'」を含むデータをメソッドの引数で渡してみて、…

http://www.atmarkit.co.jp/fsecurity/column/ueno/49.html 面白そう。一度ツアーでも組んで行ってみたいw

セキュリティ検査ツールもテストツールもやることは同じ（各パラメータをテスト用のデータに書き換えて送信する)で、その判定方法が異なる(テストツールの場合は予想する結果が表示できるかどうか、検査ツールの場合は、システムエラーが出るとかalertが実行…

http://itpro.nikkeibp.co.jp/article/COLUMN/20071011/284152/?P=1&ST=develop 後で書くかも。

http://ha.ckers.org/blog/20071014/web-application-scanning-depth-statistics/すげー脆弱性を見つける検査ツールって、これか。 http://www.ntobjectives.com/products/ntospider.php

http://japan.zdnet.com/sp/feature/07secchallenge/story/0,3800078690,20353191,00.htm 団体の問題か？って気がしないでもないが･･･

http://xssed.com/ こんなものがあったのか

最近出てきているセキュリティテストのテストケースは結合テスト時の奴なんだよねぇ。 単体テストのテストケースサンプルみたいなのがあれば、単体テスト時にチェックできる&コード書くときに気をつける点が明確になる(反面サニタイズ脳が増える可能性もある…