ikepyonのだめ人間日記

セキュリティに関することを書いていく予定。

2008-08-01から1ヶ月間の記事一覧

リスク

ネタ

http://www.hyougo-roudoukyoku.go.jp/seido/anzen_eisei/anzen_seido/riskassessment.pdf http://quality-up.jp/it_risk/index.html

SDL

セキュリティ

http://msdn.microsoft.com/ja-jp/library/cc447635.aspx http://bakera.jp/ebi/topic/3184

XHRネタ

セキュリティ

まっちゃの目覚ましで出たネタ(http://d.hatena.ne.jp/hnw/20080823)の参考に http://wizardbible.org/34/34.txt http://d.hatena.ne.jp/ikepyon/20070605#p1 と言うわけで、XHR使えば、Webサーバでなくても攻撃に使えるんですよ。 試したのは確かIE7だった…

第1回まっちゃ445

ネタ

参加した人お疲れ様でした。 会場に人が多くていすが足りなかったとか、ぜんぜん参加者の方と話せなかったとか心残りがありますが、非常に面白かったです。 まあ、内輪の人が固まっていたので、そこを今後何とかしないといけないなぁと思います。次回は後ろ…

やる気でねぇorz

いつもながらやる気がマイナスorz

Web開発者の必須知識、Webアプリの不正遷移対策とは?(from id:kinnekoさんとこ)

セキュリティ

http://codezine.jp/article/detail/2627 後で読む。

だるい

今日は涼しいなぁ

プログラミングではホワイトリスティングが基本

セキュリティ

http://blog.ohgaki.net/-13 なんか違和感があるなぁと思った。 脆弱性がどこで発生するかと言うと、多くの場合、他のプログラムへの出口だと思うんですよ。入り口で閉める(ホワイトリストやブラックリストでフィルタリングする)ことで、そりゃある程度の…

ratproxy――Webアプリケーションのセキュリティレベルを検証するGoogle提供ツール(from セキュリティホールmemo)

セキュリティ

http://opentechpress.jp/opensource/08/08/14/0159247.shtml 試してみないとなぁ。

Microsoft Security Development Lifecycle (SDL)

セキュリティ

http://www.microsoft.com/downloads/details.aspx?FamilyID=2412C443-27F6-4AAC-9883-F55BA5B01814&displaylang=en あとで

WAFを設置しなければならない

セキュリティ

http://itpro.nikkeibp.co.jp/article/COLUMN/20080707/310281/?ST=system あとで

結構使えそう

ネタ

最近検証している某ツールなのだが、結構使えそう。これは期待できる。中身のロジックも考えてたとおりっぽいしw まあ、何のことなのかはひ・み・つということでw

月見先生

世間では盆休みと言うものらしい。世のお父さんたち大変そうだなw

第7回ばりかた勉強会

セキュリティ

http://d.hatena.ne.jp/barikata-sec/20080906 ということで、話すことになりました。押しかけ講師ということでw ネタは前から考えている開発工程におけるセキュリティ対策と、セキュリティ検査についてです。 これから資料作らなならんのだけど、出来るか…

DNSの脆弱性問題の説明資料

セキュリティ

https://www.tokai-ic.or.jp/dnscrisis/img0.html なるほど、そういうことかって今頃理解するorz

猪鹿先生・雨四先生

世間は盆休みのようですが普通に仕事・・・ しかし、暑い

Blackhatの資料(from id:tessyさんとこ)

セキュリティ

http://164.106.251.250/docs/bh2008/ これとか面白そう。 http://164.106.251.250/docs/bh2008/Clark_SQL_Injection_for_Fun/ http://164.106.251.250/docs/bh2008/DeMott_AppSec_A-Z/ DEFCONの資料も出てたので、見てみてるけど、面白そうなのに限ってない…

オレオレ証明書の問題点

ネタ

今一よくわかってないけど、自分自身の理解の確認のために書いてみる。 まず、HTTPSの利点だが、これは以下の2点が挙げられると思う。 正しい接続先であることを信頼できる。 通信が暗号で行われるため、盗聴されるリスクをほぼなくせる。 さて、多くの人の…

SSLと証明書

セキュリティ

http://slashdot.jp/security/article.pl?sid=08/08/06/0237247 を見て、SSLと証明書について今一理解されてないなぁと思った。私も、あまり正しく理解してないけどorz ちょっとここらで一言後で書いてみる。

【速報】通販サイト大手のナチュラム,65万件以上の個人情報を漏えい (from 21♥SOLITUDEさんとこw)

セキュリティ

http://itpro.nikkeibp.co.jp/article/NEWS/20080804/312073/ またLACか。というかまたSQLインジェクションかって言えなくもないw いやまあ、これを書きたかっただけなんですw

暑いなぁ

脳がとろけそうだぜぇ

Analyzing Websites for User-Visible Security Design Flaws

セキュリティ

http://cups.cs.cmu.edu/soups/2008/proceedings/p117Falk.pdf 後で読む

補足情報: 要件 6.6 コードの見直しとアプリケーションファイアウォールの明確化(from id:ockeghemさん、id:hasegawayosukeさんとこ)

セキュリティ

https://www.pcisecuritystandards.org/pdfs/japanese_infosupp_6_6_applicationfirewalls_codereviews.pdf へー、ツールでもOKなんだ。

WebアプリのSDL

ネタ

SDLのやり方考え中。 主に設計&コーディング規約みたいな感じだけど、アイデアとしては、アプリの機能を細分化して、チェックリストみたいなのを作る感じかな? 例えば、こんな感じ。 ■指定したファイルへのアクセス ・ファイルが幾つか特定できている場合 …

寝不足

遅くまでおきていたにもかかわらず、朝早く目が覚めてしまったorz