ikepyonのだめ人間日記

セキュリティに関することを書いていく予定。

2009-01-01から1年間の記事一覧

orz

いろいろ難しいorz

セキュリティコードレビューとセキュリティテストについて一言言っとくか

ある本(確かMSのセキュアプログラミングの本だったと思う)に、「セキュリティテストなんてムダだからオレやんないよ」と書かれていた記憶がある。その他、コードレビューしとけばセキュリティテストいらないんじゃね?という話も聞いたり、聞かなかったり…

Session Fixation Vulnerability in Web-based Applications

http://www.acrossecurity.com/papers/session_fixation.pdf 後で読む

SQLインジェクションの検出方法(from id:sonodamさんとこ)

http://www.logos.ic.i.u-tokyo.ac.jp/~yunabe/download/paper/scis2009.pdf

Webアプリのセキュリティ自動検査ツールの利点

前回ツールの欠点を書いたけど、Disるだけではひどいので、ツールを使う利点と言うのをあげてみるw 検査工数を大幅に減らせる 自動検査ツールを使わない場合、WebScarabとかProsなどで、手動で検査しなくてはいけないわけだが、コレが意外と手間がかかる地…

Webアプリのセキュリティ自動検査ツールの弱点

とまぁ、要件に対するチェック方法として、自動検査ツールを使うと言うのは一つの解だと思う。しかし、現状の検査ツール(商用、フリー問わず)で全ての脆弱性が見つけられるわけではない。とはいえ、非常に簡単なボットなどで利用されるような脆弱性はある…

発注者のためのWebシステム/Webアプリケーション セキュリティ要件書|脆弱性診断.jp

http://脆弱性診断.jp/specifications/index.html 発注側のセキュリティ要件書。 ざっとみたけど、まあよくまとまっていると思う。でも、要件だしたら必ずチェック方法を考えないとなぁと思うんですが・・・ あと、コレを見てどれくらいの人が理解して使うこと…

コーダーにセキュリティ知識は必要か?

いろいろつぶやいていたら、某氏にBlogに書けといわれそうなのでw 設計や仕様レベルの脆弱性(CSRFとか、Amazonのウィッシュリストのように悪用できる仕様とか)では、リスク分析やセキュリティ対策を考えなけれならない。これは、コーディングでどうにかす…

ソースコードチェックツール集

http://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis 詳細を見ておく

ヤク中

ヤクがないと生活できないorz

XSS中毒の夫ユーザに不快感

夫ユーザがXSSという、バグのような脆弱性のようなものに熱中しています。やってみたら?と言われて地球防衛軍で監視したところ、平日・休日関わらず、一日のうちに何度も、攻撃がされていました。alert(document.cookie);やjavascript:alert(document.cooki…

Fuzzing for Fun and Profit(趣味と実益のためのファジングw)

http://www.milw0rm.com/papers/288 後で読む

コード自動生成ツールの問題

金曜日のデブサミにて、自動コード生成ツールの話が出ていた。カスタマイズで脆弱性が混入するかもと言われていたけど、もっと大きな問題があると思う。自動コード生成ツールにバグがあり、生成されたコードに脆弱性があった場合どうするのか?という点だ。 …

安全なシステムの開発要件

この間のまっちゃでチラッと話した政府が出している要件ってこれ。 http://www.nisc.go.jp/active/general/pdf/dm4-01-061_sample.pdf http://www.nisc.go.jp/active/general/pdf/dm6-03-051_sample.pdf http://www.nisc.go.jp/active/general/pdf/dm6-07-07…

PHPアプリになぜ脆弱性が多いのか?

昨日、ざっくり数冊のPHP入門書を見たのだけど、がっくり来たorz 結構サンプルプログラムに脆弱性があったり、記述がだめだったりしているorz こういうのがあるからダメなんだろうなぁと思った。 元々PHPは簡単という評判になっているので、プロのプログラマ…

Browser Security Handbook

http://code.google.com/p/browsersec/wiki/Main 後で読む

PHP4の脆弱性リスト(from 大垣さんとこ)

http://wiki.ohgaki.net/index.php?PHP%2F%E8%84%86%E5%BC%B1%E6%80%A7%E3%83%AA%E3%82%B9%E3%83%88%2FPHP4 結構残ってるんだなぁ

ソフトウェアのセキュリティ対策は開発プロセス上で行うべし

http://techtarget.itmedia.co.jp/tt/news/0812/22/news02.html 確かにカットオーバー前のチェックでは大変過ぎる。各開発工程ごとに何をするべきか?が今一明確になってないのが問題なのかも。 コーディングレベルでやることと言うのは脆弱性毎に分断された…

AppScanの新バージョン

http://blog.watchfire.com/wfblog/2009/01/theres-a-new-appscan-in-town.html どうやら、新しいバージョンがこっそりと出ているらしい。 試さなきゃ

Webアプリの脆弱性は5+1の分類で把握せよ−NTTデータCCS長谷川氏

http://enterprise.watch.impress.co.jp/cda/security/2009/01/09/14612.html 開発工程でのセキュリティ対策が必要なのはいいのだけど、この分類ははっきり言ってわからん。 分類するなら原因別にしたほうが良くないか?こういうどうすれば対処できるのかが…

SSLというか証明書の誤解?

どうも証明書とかSSLとかについて誤解があるようだ。 私自身よくわかってはいないのだけど、自分の理解の範疇で書いてみる。間違いはあると思うのでツッコミ希望 SSL周りの誤解として、以下のものが挙げられると思う。 証明書なんて飾りです SSLで暗号化さえ…

SSLの鍵

http://slashdot.jp/it/article.pl?sid=08/12/26/0458237 http://slashdot.jp/security/article.pl?sid=09/01/02/0928204 なんか、いろいろ誤解がある気がするので、後でSSLについてというかPKIについて自分の理解を書いてみよう。

仕事始め

あけましておめでとうございます。今年もよろしくお願いします。