2008-09-01から1ヶ月間の記事一覧
http://slashdot.jp/security/article.pl?sid=08/09/30/0817247 面白いなぁ。これ でも、この動作原理なら、ソースコードがなくても、バイナリ解析なんかで何とかならんかな?
この間のまっちゃ445の懇親会で出てた話なんだけど、セキュリティのことを考えずにアプリを作れるフレームワークがありゃいいんじゃないの?という意見がid:sonodamさんから出てた記憶がある。 実際、そういうフレームワークを作れんこと無いと思うんだけ…
誰か、やる気くださいw
http://ameblo.jp/argv/entry-10144604985.html まさに、安全でないサンプルコードがコピーされて大量に出回っているよねぇ。 初心者向け本とかで、最初っから問題がないコードで解説して行ってくれればいい気がするんだが。 そんなことを445の懇親会で話し…
今日は寒い日だなぁ
http://d.hatena.ne.jp/kazu-yamamoto/20080924/1222224226 なるほどと思うところがある
http://www.net-security.org/dl/insecure/INSECURE-Mag-18.pdf SDLの話が載っている?後で読む
からだがダルダル。
http://www-01.ibm.com/software/awdtools/appscan/developer/ いつの間にかこんなのがw 一応ソースコード監査が出来るらしい。30日の試用版があるみたいなので、試してみようw(追記 10/9) 現状AppScan DEをインストールするのに必要なバージョンのAppScan…
http://enterprisezine.jp/article/detail/701 後で読む
http://gihyo.jp/dev/serial/01/php-security/0014 かなりびみょ〜 チェックポイント:すべてのパラメータを文字列として取り扱っているか? これはいいですよ。でも、 ところで,uid,gidが整数型であるなら整数型にキャストすればよいのでは? と考えられ…
http://www.madirish.net/?article=218 http://samurai.intelguardians.com/ Webアプリのセキュリティテスト用LiveCDらしい。 しかし、Samuraiとあるのになぜに和服のおんにゃのこなんだろう?w
週末に台風が直撃しそうだなぁorz
ばりかたで使用した資料を公開します。 http://www.geocities.jp/ikepy0n/webappsecandSDL.pdf ま、あまり役に立たないし、理想論しか書いてないけど・・・ ということでよかったらツッコミくださいw
http://members.techtarget.itmedia.co.jp/tt/members/0809/17/news01.html 新常識って・・・Webアプリは開発時にきちんと対策しないと。その上で保険としてのわふの導入ならわかるんだけど。まあわふべんだーの記事なので仕方ないのかorz
衝動買いをまたしてしまったorz CFPには落ちてたし・・・orz 落ち込むこと多いなぁw
http://www.ipa.go.jp/security/vuln/CWE.html 脆弱性の分類一覧
http://enterprise.watch.impress.co.jp/cda/security/2008/09/09/13810.html ソースコード監査をするツールも出すんだなぁ。 世の中、そっちのほうに進むか、やっぱり・・・
1週間まともにネットにアクセスしてないと、何がなんだかw おかげでAVのCFPの申し込み期限過ぎてるしorz
http://www.avtokyo.org/ 10/11にやるらしい。Blackhatにいけない人も参加できるよ!
http://sourceforge.jp/magazine/08/09/03/024225 GreenSQLというMySQLのProxyとしてDBを守るもの。 しかし、どう考えても、「それ、わふでできるよ!」と言いたくなるなぁ。もちろん、これ経由だとテーブル構造の変更できないと言うのはわかるんだが、普通…
http://d.hatena.ne.jp/higaysuo/20080901/1220241148 コーディングに起因する脆弱性は、ソースコードレビューすることで結構減らせるよなぁ。その上、教育にもいいかもしれない。 プログラマな人はきれいなコードをもっと読んだほうがいいと思う。けど、き…
http://techtarget.itmedia.co.jp/tt/news/0809/02/news02.html うーん、これを読んで思ったけど、やっぱり、コーディングに起因する脆弱性とそれ以外では区別しなきゃいけないんではなかろうか。 コーディングに起因する脆弱性(SQLインジェクションとかXSS…
結局デモをMacで動かすのをあきらめたorz 2台のPC持込かぁ、ちょっとアレダナァorz
いやぁぶつくさつぶやいているだけでw、みんながいろいろネタを発言してくれるので、ブレインストーミングに使うにはいいっす。
ちと考えているので。 各工程で、どうするかの計画を立て、実装し、実装の内容を確認するというサイクルをまわす(どうするんだったかな?アイデアあったのに忘れたw) 要件定義ですること 「誰」が「何」を「どうする」かを機能ごとに明確にする->これは、…
寝れなかったorz 会社来たら誰もいないしw
http://blogs.wankuma.com/tyappi/archive/2008/09/01/154896.aspx#FeedBack 発注側として、本当にセキュリティを意識する必要性があるのか?というのが最近考えるんだよねぇ。 建築業界(まあ、構造偽装とかあったけど)では、発注要件の中に、震度いくつの…
http://msdn.microsoft.com/ja-jp/library/ms172104(VS.80).aspx http://msdn.microsoft.com/ja-jp/library/f13d73y6(VS.80).aspx http://msdn.microsoft.com/ja-jp/library/91f66yxt(VS.80).aspx
ftp://ftp.software.ibm.com/software/rational/web/whitepapers/r_wp_webappsecurity.pdf 読み中