2009-03-01から1ヶ月間の記事一覧
とまぁ、要件に対するチェック方法として、自動検査ツールを使うと言うのは一つの解だと思う。しかし、現状の検査ツール(商用、フリー問わず)で全ての脆弱性が見つけられるわけではない。とはいえ、非常に簡単なボットなどで利用されるような脆弱性はある…
http://脆弱性診断.jp/specifications/index.html 発注側のセキュリティ要件書。 ざっとみたけど、まあよくまとまっていると思う。でも、要件だしたら必ずチェック方法を考えないとなぁと思うんですが・・・ あと、コレを見てどれくらいの人が理解して使うこと…
いろいろつぶやいていたら、某氏にBlogに書けといわれそうなのでw 設計や仕様レベルの脆弱性(CSRFとか、Amazonのウィッシュリストのように悪用できる仕様とか)では、リスク分析やセキュリティ対策を考えなけれならない。これは、コーディングでどうにかす…
http://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis 詳細を見ておく
ヤクがないと生活できないorz