http://www.madirish.net/?article=218 http://samurai.intelguardians.com/ Webアプリのセキュリティテスト用LiveCDらしい。 しかし、Samuraiとあるのになぜに和服のおんにゃのこなんだろう？ｗ

ばりかたで使用した資料を公開します。 http://www.geocities.jp/ikepy0n/webappsecandSDL.pdf ま、あまり役に立たないし、理想論しか書いてないけど･･･ ということでよかったらツッコミくださいｗ

http://members.techtarget.itmedia.co.jp/tt/members/0809/17/news01.html 新常識って･･･Webアプリは開発時にきちんと対策しないと。その上で保険としてのわふの導入ならわかるんだけど。まあわふべんだーの記事なので仕方ないのかorz

http://www.ipa.go.jp/security/vuln/CWE.html 脆弱性の分類一覧

http://enterprise.watch.impress.co.jp/cda/security/2008/09/09/13810.html ソースコード監査をするツールも出すんだなぁ。 世の中、そっちのほうに進むか、やっぱり･･･

http://www.avtokyo.org/ 10/11にやるらしい。Blackhatにいけない人も参加できるよ！

http://sourceforge.jp/magazine/08/09/03/024225 GreenSQLというMySQLのProxyとしてDBを守るもの。 しかし、どう考えても、「それ、わふでできるよ！」と言いたくなるなぁ。もちろん、これ経由だとテーブル構造の変更できないと言うのはわかるんだが、普通…

http://techtarget.itmedia.co.jp/tt/news/0809/02/news02.html うーん、これを読んで思ったけど、やっぱり、コーディングに起因する脆弱性とそれ以外では区別しなきゃいけないんではなかろうか。 コーディングに起因する脆弱性（SQLインジェクションとかXSS…

ちと考えているので。 各工程で、どうするかの計画を立て、実装し、実装の内容を確認するというサイクルをまわす（どうするんだったかな？アイデアあったのに忘れたｗ） 要件定義ですること 「誰」が「何」を「どうする」かを機能ごとに明確にする->これは、…

http://blogs.wankuma.com/tyappi/archive/2008/09/01/154896.aspx#FeedBack 発注側として、本当にセキュリティを意識する必要性があるのか？というのが最近考えるんだよねぇ。 建築業界（まあ、構造偽装とかあったけど）では、発注要件の中に、震度いくつの…

http://msdn.microsoft.com/ja-jp/library/ms172104(VS.80).aspx http://msdn.microsoft.com/ja-jp/library/f13d73y6(VS.80).aspx http://msdn.microsoft.com/ja-jp/library/91f66yxt(VS.80).aspx

ftp://ftp.software.ibm.com/software/rational/web/whitepapers/r_wp_webappsecurity.pdf 読み中

http://msdn.microsoft.com/ja-jp/library/cc447635.aspx http://bakera.jp/ebi/topic/3184

まっちゃの目覚ましで出たネタ(http://d.hatena.ne.jp/hnw/20080823)の参考に http://wizardbible.org/34/34.txt http://d.hatena.ne.jp/ikepyon/20070605#p1 と言うわけで、XHR使えば、Webサーバでなくても攻撃に使えるんですよ。 試したのは確かIE7だった…

http://codezine.jp/article/detail/2627 後で読む。

http://blog.ohgaki.net/-13 なんか違和感があるなぁと思った。 脆弱性がどこで発生するかと言うと、多くの場合、他のプログラムへの出口だと思うんですよ。入り口で閉める（ホワイトリストやブラックリストでフィルタリングする）ことで、そりゃある程度の…

http://opentechpress.jp/opensource/08/08/14/0159247.shtml 試してみないとなぁ。

http://www.microsoft.com/downloads/details.aspx?FamilyID=2412C443-27F6-4AAC-9883-F55BA5B01814&displaylang=en あとで

http://itpro.nikkeibp.co.jp/article/COLUMN/20080707/310281/?ST=system あとで

http://d.hatena.ne.jp/barikata-sec/20080906 ということで、話すことになりました。押しかけ講師ということでｗ ネタは前から考えている開発工程におけるセキュリティ対策と、セキュリティ検査についてです。 これから資料作らなならんのだけど、出来るか…

https://www.tokai-ic.or.jp/dnscrisis/img0.html なるほど、そういうことかって今頃理解するorz

http://164.106.251.250/docs/bh2008/ これとか面白そう。 http://164.106.251.250/docs/bh2008/Clark_SQL_Injection_for_Fun/ http://164.106.251.250/docs/bh2008/DeMott_AppSec_A-Z/ DEFCONの資料も出てたので、見てみてるけど、面白そうなのに限ってない…

http://slashdot.jp/security/article.pl?sid=08/08/06/0237247 を見て、SSLと証明書について今一理解されてないなぁと思った。私も、あまり正しく理解してないけどorz ちょっとここらで一言後で書いてみる。

http://itpro.nikkeibp.co.jp/article/NEWS/20080804/312073/ またLACか。というかまたSQLインジェクションかって言えなくもないｗ いやまあ、これを書きたかっただけなんですw

http://cups.cs.cmu.edu/soups/2008/proceedings/p117Falk.pdf 後で読む

https://www.pcisecuritystandards.org/pdfs/japanese_infosupp_6_6_applicationfirewalls_codereviews.pdf へー、ツールでもOKなんだ。

http://slashdot.jp/security/article.pl?sid=08/07/27/2259238 アメリカでの話しだそうだが、日本でもそうだろうなぁ。 ちなみに、私は幾つかネットバンキングのアカウントを持っているけど、パスワードを間違えて入れたおかげで、全てロックがかかってます…

http://kotonet.com/mailform/security2.html オレオレ証明書を使っている場合の説明としては、及第点か微妙だけど、無視してOKというよりはまし。 この警告文は「サイトに記載された情報や暗号化技術、もしくは社会的信用に問題がある」のではなく、「第三…

http://ameblo.jp/dendrobium2007/entry-10112377473.html 興味深い。 こういうのがいろいろ出てみんなで共有できると、事件・事故が起こったとき役に立つんだけどなぁ。 そういった意味でもサウンドハウスの件とか、これは非常にうれしい。

http://bakera.jp/ebi/topic/3179 を読んで今更ながらに思ったんだけど、必要な情報が必要なところに届いていないんだなぁと。 開発者であっても、IPAでセキュリティ情報を流しているということを知らなかったり（もしかしたらIPAと言う存在も知らない人がい…