というのがあったなんて知らなかった。 これを使えば、中途半端な文字コードを使った脆弱性を防げそう。 http://wafful.org/mod_wafful/mod_wafful.c http://lc.linux.or.jp/lc2008/slide/lt-02.pdfこんなことで嘆かなくてよいかも http://blog.ohgaki.net/c…

http://d.hatena.ne.jp/ikepyon/20091119#p1 の件だが、Wininet.dllのバージョン8.00.6001.18876 (longhorn_ie8_gdr.091218-1700)で直っている模様。 やっとって感じだなｗ

コードによる脆弱性が発生する原理は、XSSにしろ、SQLインジェクションにしろおんなじ何だが、理解できてない人には理解できないみたいなようなのでつれづれに書いてみる。 どんなアプリケーションも以下のような構造をしている。 入力データ→モジュールA→デ…

http://www.nttdocomo.co.jp/service/imode/make/content/browser/ ガイドラインといっておきながら、内容が無いようｗ せめてリンクもIPAのトップページじゃなくて、安全なWebサイトの作り方とか、セキュアプログラミング講座とかへのリンクにしとこうよ。 …

開発側でやるべきことを書く前に、アプリケーションの脆弱性についてどこの工程が原因で脆弱性が発生するのかちょっと分類してみる。 あらゆる脆弱性は、以下のどれかといっていいと思う。 仕様の問題による脆弱性 設計の問題による脆弱性 コードの問題によ…

http://www.atmarkit.co.jp/fsecurity/rensai/talk13/talk01.html を読んで、違和感を感じたので書いてみる。 まず、セキュリティというのは当たり前のことを当たり前にさえやっていれば、ある程度防げるものだと思っている。そしてその当たり前のことはそれ…