http://www.ipa.go.jp/security/fy19/reports/vuln_handling/index.html 読む

http://d.hatena.ne.jp/teracc/20080225#1203957135 改めて読み直してみると、この問題は別にセッション変数を使っているか使ってないかにかかわらず起きることだな。これにも書いているとおり、最終的な処理を行う前に全てのデータのチェックを行うというの…

だれかくださいｗ

http://d.hatena.ne.jp/ockeghem/20080226/p1 あたりを読んで、脊髄反射的に思ったこと。 アカウントロックって、ある特定の人のパスワードを取得するという攻撃を防ぐには非常に有効だけど、そのサービスを使用しているユーザーであれば誰でもいいのでパス…

花粉が飛ばないところに住みたいなぁ。できれば、北海道か沖縄で農家をしたいなぁｗ

ちと、文章ネタに思案しているので、メモ代わりに。 脆弱性の切り口っていくつかあると思うんだ。 発生する事象よる切り口 XSSとか、SQLインジェクションとか 作りこんでしまう開発工程による切り口 要件定義とか、設計、コーディングとかとか 発生する原因…

そろそろ眠くなってきた。

http://webappsec.sakura.ne.jp/modules/wfdownloads/viewcat.php?cid=2 メールで受け付けて配るのが面倒になってきたのでｗ、公開してみるテスト。一応ダウンロードするにはユーザ登録が必要だけど。それに、すでに入手している人は同じものなのでダウンロ…

http://anoda.cocolog-nifty.com/mad/cat2986968/index.html なかなか面白い。 要求とスペックは違うものとかためになるなぁ。

こういうのをやると嫌になる。

そろそろ面倒になってきたので、某所に公開するか。もちろん公開版はシグネチャなしにするけどw

http://itpro.nikkeibp.co.jp/article/Watcher/20080116/291197/ http://itpro.nikkeibp.co.jp/article/Watcher/20080214/293715/ ふむふむ、英語でなくてもプレゼンで使えるなぁ。

なんか眠いなぁ。 今年の花粉対策は、鼻につめる薬にしよう

ftp://ftp.porcupine.org/pub/php/php-5.2.5-taint-20080130.README.html PHPにTaintをサポートしたパッチが出たらしい。 確かにうまく使えばセキュリティの向上が期待できるけど・・・ PHPで開発している人は結構こぴぺ超人ｗが多そう（独断と偏見だけどな…

http://kiyosakari.blog105.fc2.com/blog-entry-59.html ふむ、セキュリティテストのためにウイルスを作成しても罰せられないというのであれば、作成したウィルスを受け取った人が悪意を持ってウィルスを使用した場合、ウィルスを作成した人にセキュリティテ…

最近どころかかなり前から、言語の初心者向け解説ページとか「今夜わかるPHP」ｗとかいう初心者向けのものにコードがいくつか書かれているんだけど、多くの場合セキュリティ対策というか、どんな場合でも正しく動くようなコードになっていない。 まあ、そう…

わからないことがあったら、まず誰かに質問する前に自分でいろいろ試してみようと思った今日この頃

http://gihyo.jp/dev/serial/01/php-security/0001 今更ながらですがｗ この統計の取り方はちょっとPHPに対して不利じゃないかな？ PHP、Ruby、ASPで開発されたアプリケーションの絶対数が違いすぎると思うんだよ。だから、前にも何度か統計とって見たけど、…

元ネタhttp://itpro.nikkeibp.co.jp/article/COLUMN/20080111/290867/ プログラミングの人気が高まるにつれ，自らのアイデアを表現したいと考える開発者がますます増えている。この表現方法は，ちょっとしたお遊びプログラムから，本格的なアプリケーション…

http://osvdb.org/ こんなのがあったのか。結構詳細に検索条件が指定できるみたい。

http://www.net-security.org/dl/insecure/INSECURE-Mag-15.pdf なんか面白そうな記事があったので、後で読む

アプリケーションの脆弱性ってのは、ぶっちゃけて言えばアプリケーションのバグor仕様のミス（まあこれもバグの一つか？）のうち、狭義のセキュリティ上の問題になるものだと思うんだな。 ちなみにあらゆるバグは、完全性や機密性、可用性のどれか（複数って…

http://www.owasp.org/index.php/OWASP_Australia_AppSec_2008_Conference 2月27日〜2月29日で開催らしい。話し聞いてみたいけど、オーストラリアはいけねぇorz

http://corp.livedoor.com/pressrelease/2008/02/0204-2.html FONのユーザーはライブドアのAPを無料で使えるらしい。 でも、今のところ期間限定なのが、ちょっとなぁ

http://www.rubyist.net/~matz/20080129.html#p02 ちと気になったのでメモ。ORマッパーによるDBへのアクセスというのは、DBのデータを抽象化してくれるので便利だとは思うのだけど、かなりオーバーヘッドが大きいと思う（実際のところはコード読んでないので…

http://xss-quiz.int21h.jp/ その内気が向いたらやるｗ どうも攻撃パターンを探すことにあまり興味が出ない今日この頃ｗ

例のブツ、コードが気に入らないので再度一から書き直すことにした。 やっぱり、コードにセンスがないよなぁorz 加えてテストファーストでテストを行う予定。 XMLの読み込み部分は単体テストをしてたんだけど、それ以外はやってなかったし･･･ というわけで、…