http://www.netone.co.jp/solution/pcidss/vol1/ http://www.netone.co.jp/solution/pcidss/vol2/ http://www.netone.co.jp/solution/pcidss/vol3/ http://del.icio.us/takahiro.yanaka/pci http://www.visa-asia.com/ap/jp/merchants/riskmgmt/ais_download…

今更だけどちといろいろいじってみたので、メモ代わりw Proxy Proxyとして機能して、リクエストを取得することができる。 Intercept 受け取ったリクエスト/レスポンスをインターセプトして、内容を書き換えることができる。内容の変更にはRAWデータでも、パ…

https://www.pcisecuritystandards.org/tech/download_the_pci_dss.htm OWASPのガイドライン参考にしろとか書かれているのね。 でもちょっと気になったのが、 すべてのWeb に面したアプリケーションは、以下のどちらかの手法を適用することで、既知 の攻撃か…

http://www.securevm.org/index.html ちと面白そう。

http://exception.or.tv/ASNT/?study3 5/31に江戸で開催予定らしい。面白そうなので、都合がつけば参加したい。 しかし、数学ってすっかり抜け落ちてるよorz

http://enterprisezine.jp/article/detail/311 とか、IPAの「例えば、PHPを避ける」（IPA ISEC セキュア・プログラミング講座：Webアプリケーション編 第1章 総論：より良いWebアプリケーション設計のヒント）とかみるとPHP自身の問題と、PHPで作成されたWeb…

http://itpro.nikkeibp.co.jp/article/NEWS/20080313/296120/?P=2&ST=security SQLインジェクションの線が濃厚っぽい。 こんなのも出てるし。 http://www.lac.co.jp/news/press20080312.html

http://www.networkworld.jp/security/-/100589.html 後で読む

ISO認証とかISMSとか認証、プライバシーマークとかとっても実際に運用が回ってなかったら飾りにしかならんと思うんですけど。結構認証取るのが目的になってしまって、運用が回ってないところってあるんじゃないかなぁ？そういうところの第三者認証は飾りでし…

http://www.cyphersec.com/software_archive/CodeCrawler.rar https://www.owasp.org/index.php/Category:OWASP_Code_Review_Project コードレビュー用ツールらしい。SQL Serverも必要らしいので、試せてない。

http://securecode.g.hatena.ne.jp/keyword/2008%2d03%2d21 参加したいけど、無利！！

平成生まれの人に言われてしまったｗ昭和生まれは旧人類らしいｗ

ってことはないんだけど、実際のところ、Hiddenにエスケープ漏れや妥当性検証漏れって言うのが発生しやすいというのが現状だと思う。これは、HiddenがTextとは違って、一見するとブラウザから変更できないように見えるからじゃないかと思う。実際、脆弱性が…

脆弱性のうちコーディングだけで対策できるものと、設計時に対策しないといけないものがあるんではないかというのを前々から考えていたりする。当然、設計時に対策するものについては、実装であるコーディングでも対策は必要といやぁ必要だろう。 まあ、コー…

https://cenzicevents.webex.com/mw0304l/mywebex/default.do?siteurl=cenzicevents&service=6&main_url=%2Fec0509l%2Feventcenter%2Fmainframe.do%3Fmainurl%3Dhttps%253A%252F%252Fcenzicevents.webex.com%252Fec0509l%252Feventcenter%252Fevent%252Feven…

http://searchsoftwarequality.techtarget.com/news/article/0,289142,sid92_gci1293878,00.html?asrc=SS_CLA_306128&psrc=CLT_92 後で

http://www.ipa.go.jp/security/vuln/documents/website_security.pdf 読む

http://d.hatena.ne.jp/ripjyr/20080419/1203745616 試験申し込み忘れたので、出る予定。ねたを仕込められたら仕込んで行きたいな

http://en.yummy.stripper.jp/?eid=835168 初心者にかかわらずよくあるミスですな。ただまあ、SSLに関する部分は状況によるので、なんともいえない気がするけど･･･

http://www.atmarkit.co.jp/fjava/rensai4/safetomcat_05/safetomcat_05_1.html なんかひどひ。 niktoって既知の脆弱性しか調べないんじゃなかったっけ？パラメータの改ざんとか、XSS、セッションハイジャックとか調べないと思ったけど、違ったかなぁ？ それ…