http://bit.ly/714vsw どうもコードとか設計のセキュリティに関する文書らしい。後で読む

と言うことをたまに考える。 アプローチとしては2つあって、一つは、フレームワークや、言語側で安全で無い実装は出来ないようにしちゃうというもの。もうひとつは、プログラマを教育すること（これにはコーディング規約を作ってそれを守らせると言うのも含…

Webアプリを作るうえで、SQLやプログラム言語、HTMLの知識は必須だと思うんだ。HTTPは無いよりあったほうがいいが必須か？と言われるとちょっとそうでも無い気がしている。で、SQLとプログラム言語、HTMLを一から勉強する場合、SQLならSQLだけ、プログラム言…

http://d.hatena.ne.jp/ikepyon/20080825#p2 の続き。IE8で検証してみたら、未だに治っていない様子orz でも、一部でできないと言う報告もあるのでよくわからん。少なくとも私のwininet.dllのバージョン8.00.6001.18828(longhorn_ie8_gdr.090826-1700) では…

咳するたびに腰が痛むorz

バインド機能を使えば、ほぼすべてのSQLインジェクションの脆弱性を防ぐことが出来るのは良く知られていると思いたい。しかし、アプリケーションの仕様によっては、検索項目やソート順を自由に変更したい場合がある。この場合、バインド機能では残念ながら対…

私が3年前（2006年）に「SQL Injectionの仕組みと対策」を執筆していた時には、既にJavaScriptインジェクションやSQLインジェクション攻撃は比較的広く知られていました。この問題はそれ以前からスラッシュドットジャパンでも取り上げられていました。/.で取…

なんかネタが浮かんだので書いてみる。

http://b.hatena.ne.jp/into_the_blue/20091001#bookmark-16421068 語弊がある言い方だけど、セッションIDってそもそもユーザ認証ではなく、ユーザ識別だと思う。 セッションが生きている場合に限り、どのユーザがリクエストを送信しているのかを識別するも…

http://blog.ohgaki.net/char_encoding_must_be_validated まあ、当たり前にはならないでしょう。どう考えても不正な文字エンコーディングを受け付ける言語やらフレームワーク、DB、ブラウザが悪いと思う。不正な文字エンコーディングをチェックするというの…

http://www.mbsd.jp/event/detail125-desc.html に行ってきたので、簡単なメモ 楽天のインターネットセキュリティの取り組み 楽天におけるインターネットセキュリティの考え方 楽天のシステムは原子力発電所並みの運用体制と安全性を求められている（by 三木…

http://webappsec.sakura.ne.jp/modules/wfdownloads/singlefile.php?cid=3&lid=9 セキュメロの資料を公開した。まあ、ツッコミはいろいろあると思いますが、受けます

http://pixybox.seclab.tuwien.ac.at/pixy/index.php PHP用ソースコードチェックツールらしい。後で試す

http://www.123kobe.com/doc/writing/ 後で読む

http://bakera.jp/ebi/topic/3883 を見て、入力面倒だからID/パスワード入れなくてもいいように設計しているという簡単ログインにした理由で、個体識別番号で認証しているのなら、個体識別番号をID代わりにして、パスワードに10桁以上の数字を入れること&3回…

http://d.hatena.ne.jp/hideden/20090801/1249142985 アホほど簡単にキャリアのゲートウェイ経由で製造番号を偽造することが出来るらしい。 x-jphone-uidヘッダを付けて送ったらどうなるんだろ？もしかして、上書きされずに追加されて送られる？ 追加だとし…

http://www.cmuj.jp/090829workshop/index.html と言うことで8/29に神戸で話すことになった。 ネタは、開発者がどうすれば安全なアプリを作れるか？という話の予定。 うだうだ言わずに、最低限これさえ気をつければOKみたいな話かなぁ？

改めて読んでみたんだけど、微妙な所がちらほら。 CSRF対策にSSL SSL/TLSの使用リクエスト強要（CSRF）対策に用いる照合情報は、他者に傍受されると都合が悪い。また、リクエスト強要（CSRF）対策が必要となる場面においては、ユーザやWebアプリケーションに…

昨日書いたネタの続きだけど、そういえば、iモードIDって送信されないこともあるんだった。 http://www.nttdocomo.co.jp/service/imode/make/content/ip/#imodeid SSL使ってる場合、昨日のコード使えねぇじゃんw 結局、PHPのセッションIDきちんと使いましょ…

ワッサーでつぶやいていて、PHPで個体識別番号をセッションIDとして使う方法を教えてもらった。http://wassr.jp/user/nihen/statuses/skctoRFZ3G 目からうろこが落ちた。 http://pastebin.com/m74e…

http://www.lasdec.nippon-net.ne.jp/cms/12,1284.html

あちこちのサイトや本で初心者向けと称してサンプルコードが幾つか載っているのがあるけど、その多くはセキュリティ上問題があることが多い気がする。まあ、実例を挙げると名誉毀損で訴えられるとやなのでやらないけど（意気地なしｗ） 例としてあげるとこん…

http://www.scj.go.jp/ja/info/kohyo/pdf/kohyo-21-d4.pdf http://www.cp.cmc.osaka-u.ac.jp/~kikuchi/weblog/index.php?UID=1246460064 リスク評価とリスク管理は違うと言うことを改めて考えさせられるなぁ。ここら辺結構ごっちゃになってるし^^;

http://tacticalwebappsec.blogspot.com/2009/06/generic-remote-file-inclusion-attack.html 後で読む

http://www.meti.go.jp/press/20090630007/20090630007.html 後で読む

というわけで、はてなTシャツ2009欲しい！

https://blogs.sans.org/appsecstreetfighter/2009/06/14/session-attacks-and-aspnet-part-1/ https://blogs.sans.org/appsecstreetfighter/2009/06/24/session-attacks-and-aspnet-part-2/ 後で読む

http://www.mew.org/~kazu/doc/japanese.html 後で読む

http://www.msng.info/archives/2009/06/caracter_reference_on_mixi_diary.php と言うのを見て、確認してみた。 mixiでは、コメントや日記の本文を確認する画面が出てくるが、実際に書き込みするために、hiddenフィールドでデータのやり取りをやっている。…

http://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project ASVS1.0がリリースされたらしい。後で読む