ikepyonのだめ人間日記

セキュリティに関することを書いていく予定。

セキュリティ

コーダーにセキュリティ知識は必要か?

いろいろつぶやいていたら、某氏にBlogに書けといわれそうなのでw 設計や仕様レベルの脆弱性(CSRFとか、Amazonのウィッシュリストのように悪用できる仕様とか)では、リスク分析やセキュリティ対策を考えなけれならない。これは、コーディングでどうにかす…

ソースコードチェックツール集

http://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis 詳細を見ておく

Fuzzing for Fun and Profit(趣味と実益のためのファジングw)

http://www.milw0rm.com/papers/288 後で読む

コード自動生成ツールの問題

金曜日のデブサミにて、自動コード生成ツールの話が出ていた。カスタマイズで脆弱性が混入するかもと言われていたけど、もっと大きな問題があると思う。自動コード生成ツールにバグがあり、生成されたコードに脆弱性があった場合どうするのか?という点だ。 …

安全なシステムの開発要件

この間のまっちゃでチラッと話した政府が出している要件ってこれ。 http://www.nisc.go.jp/active/general/pdf/dm4-01-061_sample.pdf http://www.nisc.go.jp/active/general/pdf/dm6-03-051_sample.pdf http://www.nisc.go.jp/active/general/pdf/dm6-07-07…

PHPアプリになぜ脆弱性が多いのか?

昨日、ざっくり数冊のPHP入門書を見たのだけど、がっくり来たorz 結構サンプルプログラムに脆弱性があったり、記述がだめだったりしているorz こういうのがあるからダメなんだろうなぁと思った。 元々PHPは簡単という評判になっているので、プロのプログラマ…

Browser Security Handbook

http://code.google.com/p/browsersec/wiki/Main 後で読む

PHP4の脆弱性リスト(from 大垣さんとこ)

http://wiki.ohgaki.net/index.php?PHP%2F%E8%84%86%E5%BC%B1%E6%80%A7%E3%83%AA%E3%82%B9%E3%83%88%2FPHP4 結構残ってるんだなぁ

ソフトウェアのセキュリティ対策は開発プロセス上で行うべし

http://techtarget.itmedia.co.jp/tt/news/0812/22/news02.html 確かにカットオーバー前のチェックでは大変過ぎる。各開発工程ごとに何をするべきか?が今一明確になってないのが問題なのかも。 コーディングレベルでやることと言うのは脆弱性毎に分断された…

AppScanの新バージョン

http://blog.watchfire.com/wfblog/2009/01/theres-a-new-appscan-in-town.html どうやら、新しいバージョンがこっそりと出ているらしい。 試さなきゃ

Webアプリの脆弱性は5+1の分類で把握せよ−NTTデータCCS長谷川氏

http://enterprise.watch.impress.co.jp/cda/security/2009/01/09/14612.html 開発工程でのセキュリティ対策が必要なのはいいのだけど、この分類ははっきり言ってわからん。 分類するなら原因別にしたほうが良くないか?こういうどうすれば対処できるのかが…

SSLというか証明書の誤解?

どうも証明書とかSSLとかについて誤解があるようだ。 私自身よくわかってはいないのだけど、自分の理解の範疇で書いてみる。間違いはあると思うのでツッコミ希望 SSL周りの誤解として、以下のものが挙げられると思う。 証明書なんて飾りです SSLで暗号化さえ…

SSLの鍵

http://slashdot.jp/it/article.pl?sid=08/12/26/0458237 http://slashdot.jp/security/article.pl?sid=09/01/02/0928204 なんか、いろいろ誤解がある気がするので、後でSSLについてというかPKIについて自分の理解を書いてみよう。

趣味の検査ツール作成

http://d.hatena.ne.jp/teracc/20081227 id:ripjyrさんに突っ込まれてますが、アプローチの仕方が違いますね。 私は、なるべく自動で検出できるように、多少送信パターンが増えてもいいという考え&テスト環境に対してテストを実施するというコンセプトで考…

クライアントサイドのPreparedStatementの問題点

クライアント側のPreparedStatementでは、クライアント側で文字列結合でSQL文を作成し、そのSQL文をDBに送信する。 文字列として取り扱うので、リテラルを結合する際、メタ文字がある場合、適切なエスケープ処理を行わなければならない。 パラメータ(言語側…

MySQLのPreparedStatement

というわけで、実証コード例を作った。SQLインジェクションが発生していれば、「result:0」にはならない。 徳丸さんのサンプルコードをパクって見たw(Thx:徳丸さん) import java.sql.*; public class TestUnicode { /** * @param args */ public static …

JavaとMySQLの組み合わせでUnicodeのU+00A5を用いたSQLインジェクションの可能性

http://www.tokumaru.org/d/20081222.html#p01 PreparedStatementに関することが書いていないので、参考まで。 http://d.hatena.ne.jp/ikepyon/20061215#p2 http://d.hatena.ne.jp/ikepyon/20070216#p1 http://d.hatena.ne.jp/ikepyon/20061208#p2 ま、一文…

無線LANセキュリティの強化書

http://hackerjapan.blog55.fc2.com/blog-entry-109.html というのが出るらしい。無線LANはあんまし追ってないからなぁ と、モニター目当てで書いてみるw

Software Security:Being Secure in an Insecure World

http://www.isc2.org/uploadedFiles/(ISC)2_Public_Content/Certification_Programs/CSSLP/CSSLP_WhitePaper_3.pdf 後で

Web に対する SDL の適用

http://msdn.microsoft.com/ja-jp/magazine/cc794277.aspx あとで

第3回まっちゃ445勉強会

講師の田口さん、参加した方ありがとうございました。 個人的にセキュアOSは興味がかつてあったのですが、設定が面倒だったので放置してました。 これからはちょっと試してみたいと思う。

サーバ/Webアプリケーション脆弱性チェックツールの個人的まとめ(フリー/有償)(from id:hasegawayosukeさんのブックマーク)

http://d.hatena.ne.jp/naoe/20081102 しくしく、私が作ったツールがないorz http://webappsec.sakura.ne.jp/ いや、いいんですけど、ちょ〜マイナーだし、作りかけだしorz

SQL文のエスケープ方法

SQLで問題となるのは「'」であると思う。「'」は文字列の区切りを示しているので、これをエスケープする必要がある。 そのとき、Cやperlなどでは「\'」とエスケープするが、SQLでは「''」とエスケープするように決められているはず。(はずというのは手元に…

セキュリティガイドライン

http://www.e-3lab.com/security_guideline/ SQLインジェクション対策に間違いが・・・ エスケープのやり方がチャウんですけど。「\」でエスケープできるのは一部のRDBMSのみで、一般には、「'」を「''」や「"」を「""」とするのが普通(「"」もエスケープ必要…

安全なアプリの作り方(そにょに)

id:ripjyrさんからツッコミもらったので、追記。 てか、既にある程度80%程度クリアしているフレームワークとかあるし。。。。それを100%に近づける仕事する方がよっぽど効率的ですよ>いけぴょん 確かに、ありますねぇ。しかし、現状あるフレームワー…

Korset

http://slashdot.jp/security/article.pl?sid=08/09/30/0817247 面白いなぁ。これ でも、この動作原理なら、ソースコードがなくても、バイナリ解析なんかで何とかならんかな?

(IN)SECURE Magazine No.18

http://www.net-security.org/dl/insecure/INSECURE-Mag-18.pdf SDLの話が載っている?後で読む

AppScan Developer Edition

http://www-01.ibm.com/software/awdtools/appscan/developer/ いつの間にかこんなのがw 一応ソースコード監査が出来るらしい。30日の試用版があるみたいなので、試してみようw(追記 10/9) 現状AppScan DEをインストールするのに必要なバージョンのAppScan…

PCI DSSをモデルにした企業に求められるセキュリティ実装とは

http://enterprisezine.jp/article/detail/701 後で読む

なぜPHPアプリにセキュリティホールが多いのか? 第14回 減らないSQLインジェクション脆弱性

http://gihyo.jp/dev/serial/01/php-security/0014 かなりびみょ〜 チェックポイント:すべてのパラメータを文字列として取り扱っているか? これはいいですよ。でも、 ところで,uid,gidが整数型であるなら整数型にキャストすればよいのでは? と考えられ…