2008-01-01から1年間の記事一覧
からだがダルダル。
http://www-01.ibm.com/software/awdtools/appscan/developer/ いつの間にかこんなのがw 一応ソースコード監査が出来るらしい。30日の試用版があるみたいなので、試してみようw(追記 10/9) 現状AppScan DEをインストールするのに必要なバージョンのAppScan…
http://enterprisezine.jp/article/detail/701 後で読む
http://gihyo.jp/dev/serial/01/php-security/0014 かなりびみょ〜 チェックポイント:すべてのパラメータを文字列として取り扱っているか? これはいいですよ。でも、 ところで,uid,gidが整数型であるなら整数型にキャストすればよいのでは? と考えられ…
http://www.madirish.net/?article=218 http://samurai.intelguardians.com/ Webアプリのセキュリティテスト用LiveCDらしい。 しかし、Samuraiとあるのになぜに和服のおんにゃのこなんだろう?w
週末に台風が直撃しそうだなぁorz
ばりかたで使用した資料を公開します。 http://www.geocities.jp/ikepy0n/webappsecandSDL.pdf ま、あまり役に立たないし、理想論しか書いてないけど・・・ ということでよかったらツッコミくださいw
http://members.techtarget.itmedia.co.jp/tt/members/0809/17/news01.html 新常識って・・・Webアプリは開発時にきちんと対策しないと。その上で保険としてのわふの導入ならわかるんだけど。まあわふべんだーの記事なので仕方ないのかorz
衝動買いをまたしてしまったorz CFPには落ちてたし・・・orz 落ち込むこと多いなぁw
http://www.ipa.go.jp/security/vuln/CWE.html 脆弱性の分類一覧
http://enterprise.watch.impress.co.jp/cda/security/2008/09/09/13810.html ソースコード監査をするツールも出すんだなぁ。 世の中、そっちのほうに進むか、やっぱり・・・
1週間まともにネットにアクセスしてないと、何がなんだかw おかげでAVのCFPの申し込み期限過ぎてるしorz
http://www.avtokyo.org/ 10/11にやるらしい。Blackhatにいけない人も参加できるよ!
http://sourceforge.jp/magazine/08/09/03/024225 GreenSQLというMySQLのProxyとしてDBを守るもの。 しかし、どう考えても、「それ、わふでできるよ!」と言いたくなるなぁ。もちろん、これ経由だとテーブル構造の変更できないと言うのはわかるんだが、普通…
http://d.hatena.ne.jp/higaysuo/20080901/1220241148 コーディングに起因する脆弱性は、ソースコードレビューすることで結構減らせるよなぁ。その上、教育にもいいかもしれない。 プログラマな人はきれいなコードをもっと読んだほうがいいと思う。けど、き…
http://techtarget.itmedia.co.jp/tt/news/0809/02/news02.html うーん、これを読んで思ったけど、やっぱり、コーディングに起因する脆弱性とそれ以外では区別しなきゃいけないんではなかろうか。 コーディングに起因する脆弱性(SQLインジェクションとかXSS…
結局デモをMacで動かすのをあきらめたorz 2台のPC持込かぁ、ちょっとアレダナァorz
いやぁぶつくさつぶやいているだけでw、みんながいろいろネタを発言してくれるので、ブレインストーミングに使うにはいいっす。
ちと考えているので。 各工程で、どうするかの計画を立て、実装し、実装の内容を確認するというサイクルをまわす(どうするんだったかな?アイデアあったのに忘れたw) 要件定義ですること 「誰」が「何」を「どうする」かを機能ごとに明確にする->これは、…
寝れなかったorz 会社来たら誰もいないしw
http://blogs.wankuma.com/tyappi/archive/2008/09/01/154896.aspx#FeedBack 発注側として、本当にセキュリティを意識する必要性があるのか?というのが最近考えるんだよねぇ。 建築業界(まあ、構造偽装とかあったけど)では、発注要件の中に、震度いくつの…
http://msdn.microsoft.com/ja-jp/library/ms172104(VS.80).aspx http://msdn.microsoft.com/ja-jp/library/f13d73y6(VS.80).aspx http://msdn.microsoft.com/ja-jp/library/91f66yxt(VS.80).aspx
ftp://ftp.software.ibm.com/software/rational/web/whitepapers/r_wp_webappsecurity.pdf 読み中
夏も終わりだな。今年の夏もいつもと同じく何もなかったorz
http://www.hyougo-roudoukyoku.go.jp/seido/anzen_eisei/anzen_seido/riskassessment.pdf http://quality-up.jp/it_risk/index.html
http://msdn.microsoft.com/ja-jp/library/cc447635.aspx http://bakera.jp/ebi/topic/3184
まっちゃの目覚ましで出たネタ(http://d.hatena.ne.jp/hnw/20080823)の参考に http://wizardbible.org/34/34.txt http://d.hatena.ne.jp/ikepyon/20070605#p1 と言うわけで、XHR使えば、Webサーバでなくても攻撃に使えるんですよ。 試したのは確かIE7だった…
参加した人お疲れ様でした。 会場に人が多くていすが足りなかったとか、ぜんぜん参加者の方と話せなかったとか心残りがありますが、非常に面白かったです。 まあ、内輪の人が固まっていたので、そこを今後何とかしないといけないなぁと思います。次回は後ろ…
いつもながらやる気がマイナスorz
http://codezine.jp/article/detail/2627 後で読む。