某ツールでは、メタ文字が有害文字となってるんだよなあ。どうも、あちらの人って、危ないモノは排除って感じなので、文化の違いかなあとふと思った。頭が異体秋の夜

萌えってわからないから、オタクじゃないですよぅ。

http://www.darkreading.com/document.asp?doc_id=136139&f_src=darkreading_section_296 後で読む。開発時の悪意あるコードの混入についてっぽい。サラミコードとか？

id:comikenさんにトラックバックされてしまったら、変な考えが出てしまったorzはしっかり者の妹ってどう？が「お姉ちゃんは仕方がないなあ」とかいいながら、皆をタグから解放してあげるとかw で、"と'は<>の従姉妹で、容姿端麗、頭脳明晰の姉妹なんだけど、…

と言うのを昨日カッとなったので考えてしまったorz今は反省している。 メタ文字たんは基本ドジっ娘と言うことにw で、は双子の姉妹らしいw

http://nvd.nist.gov/download.cfm 2002年からのCVEのデータがXMLである。統計データ取るのによさげ。

http://www.ipa.go.jp/security/vuln/vuln_contents/ たまたま見つけたのでw一応こっちにも書いておく どこかで見た記憶があると思ったら、id:hanazukinさんのとこだったw http://d.hatena.ne.jp/hanazukin/20070712/1184252586

Blind SQL Injectionの攻撃例って条件式でSQL Injectionが発生するケースのものなんだよなぁ。InsertやUpdateの更新データとか、ストアドプロシジャの引数での例ってあんまり見ない気がする。実際問題どうやればよいかというと、やり方は想像つくんだけど、…

まあじっくり考えんでも、スクリプトコードの中で入力データ使われてたら対策が面倒ですな。実際のところそういったケースってあるのかな？ 某所にて、XSSとかの説明が似たり寄ったりで面白くないと言われたのでw、XSSの脅威のひとつの例として、暇ができた…

一年近くぶりm(_ _)mに、実施することになりました。 今回は、Webアプリセキュリティについて、徳丸さんと佐名木さんにお話いただきます。詳細については、以下のURLをごらんください。 http://skuf.s-lines.net/hiki/?SKUF+Meeting#l0(追記) 参加された方、…

まあ簡単に言っちまうと、有害文字(とあえて書くw)がないと、データの区切りとか、命令とデータの区切り等が表現できないからだ。その為、0x00から0xFFのうち幾つかのものをデータや命令の区切り等、特別なものとして使う(例えば、多くの処理系で0x00が文字…

結合テスト(もしかして総合テスト？)では全てのページの全てのパラメータに、あらゆるデータを入れてみたり、普通の手順とは違う手順でページをアクセスしてみたりすると思う。もしかして、ページのアクセス順番を変更してテストしない？していないならすべ…

自称JavaのエキスパートなのにEclipseでのプログラムの実行方法がわからんとはこれ如何に？Eclipse使わずに開発してんのかなぁ？

新しいのが公開されているらしい。しかし、新しいのがでたと言うのを人のはてブで知るというのはどうかと思う。

ごく特殊な部分を除いてプログラミングの基本さえ守っておけば、そんなに難しいもんじゃないと思うのだが。 ごく特殊な部分というのは暗号に関る部分であったり、セッション管理に関る部分だったりすると思う。特に暗号化ライブラリを一から構築しろと言われ…

徳丸さんのネタで出ているセミナーにて「開発者にセキュリティの知識が必要」と言われていたが、これにかなり疑問を持ってしまった。 以前は確かに私も、「セキュリティ知識が開発者にも必要」という考えだったけど、このところの入力検証とエスケープ処理に…

http://d.hatena.ne.jp/ikepyon/20070903#p2 に書いていたことについて意見もらったもので、自分地に改めて書いてみる。 http://blog.goo.ne.jp/t_iwano/e/ae81d77e587d0eadde9a9ae6e5f51abe ここで書いていた初めての人というのは今までプログラムを書いた…

http://itpro.nikkeibp.co.jp/article/COLUMN/20070829/280627/ 見事な釣り師です。ごめんなさい

おとついあたりから考えているのだけど、本当にWebアプリのセキュリティ対策として入力検証は必要なんだろうか？ 多くのWebアプリはphpやJava、Perlといった言語で書かれている。このためCに特徴的なBuffer Overflowの脆弱性というのはあまり考えられないの…

http://www.tokumaru.org/d/20070905.html#p01 すばらしい。すごくわかりやすいなぁ。うーん、それに引き換え･･･orz 後出しじゃんけんみたいだけど、実は、昨日Webアプリのセキュリティ対策ってエスケープ処理しっかりしときゃ結構いいんじゃね？(まあこれは…

ちとあまりにアレな記事を見つけてしまったもので･･･ http://www.nikkeibp.co.jp/sj/2/special/237/index3.html おすすめなのが電話番号や住所、生年月日など、複数の要素を組み合わせてパスワードを作る方法だ。たとえば、「19701201」や「misyuku6424」と…

http://www.keyman.or.jp/3w/prd/19/30002219/ nクリック詐欺の話。前にid:sonodamさんがしてた奴ですな。

サニタイズっていうと、「危険なデータを削除して、安全なデータにする」と言うイメージかなぁ。 となると昨日書いた「信頼できないものを信頼できるようにする」というイメージと確かにだぶる。私の意図としては、「信頼できない」とは、チェックせずに利用…

よく考えりゃ、多くの入門書というか、ほとんどの入門書にセキュアなコードを書かない原因があるんだよなぁ。多くの入門書が、文法やら関数、クラスの使い方の解説から入って、それらを説明するのに適したサンプルコードを載せて、ハイこんな感じでできます…

まあ、これらを適切に行っておけば、ほとんどの脆弱性は防げるはず。 詳しくは、以下のAppendix Cを読んでもらえば、その理由はわかるんじゃないかな？ http://isecom.securenetltd.com/spsmm.0.5.1.jp.pdf で、入力検証は、信頼できないものからの入力で必…

たまにあるんだよねぇorz

というわけで、某所の記事が公開されてた。いつものことながら、連絡ないしw 今回出した奴は長かったので、前後編に分かれたみたい。

http://enterprisezine.jp/article/detail/71 うーん、セキュリティ障害も災害も程度の違いはあれ、インシデントの1つなので、やることはかわらんよなぁ。それが、なされていないから？なんか今一な記事だなぁ

短時日で素早くコードを書くことのみに着目するのであれば、コピペは悪い方法ではない。しかし、これまで多くのサンプルプログラムには脆弱性が含まれてきた経緯があり、改善が進んでいるとはいえまだ十分堅固とは言えない。 うーん、PHPをコピペに変えて、…

http://blog.goo.ne.jp/t_iwano/e/b555f483f742dc6044722dc10a24741a で書かれていることと、私の考えはほぼ同じです。 どんな言語(Webアプリの開発者がそれこそ書くことはあまりないだろうけど、アセンブラとかCとか)であっても、安全なアプリを作ることは…