http://www.hash-c.co.jp/archive/wasf2008.pdf （徳丸さんの「SQLインジェクション対策再考」） http://text.art-code.org/openid_security_was_forum.pdf （山口さんの「OpenIDのセキュリティ」）

２日とも参加していました。参加された方お疲れ様でした。大変おもしろかったです。 １日目のパネルディスカッションの高木先生のツッコミがアレだったのが・・・ キーワードは「サイバー戦争」ということでｗ ２日目は徳丸さんのネタに笑わせてもらいました…

http://www.microsoft.com/japan/technet/community/columns/secmgmt/sm0508.mspx 後で読む

http://www.computerworld.jp/topics/vs/113789.html ちょっと受けてみるにしても6万弱か高いなぁorz

http://itpro.nikkeibp.co.jp/article/COLUMN/20080624/309332/ 第二段ですね。週刊ではなく日刊ですか、すごいなぁ。 難しいパスワードとなると脳の記憶容量の問題で覚えられないというのがあると思う。で、簡単なパスワードにしてしまうというのはありがち…

http://itpro.nikkeibp.co.jp/article/COLUMN/20080624/309301/ 今後の連載に期待ｗ

http://www.computerworld.jp/topics/vs/112489.html これはひどい・・・ しっかりセキュリティたいさくはしときましょう。

http://internet.watch.impress.co.jp/cda/news/2008/06/18/19989.html 行ったセミナーの記事が出てた。 というわけで、昨日のセミナーのまとめっていうか殴り書きｗ あまり参考にならないだろうけどｗ・事件発覚前のサウンドハウス社の売り上げの75%はイン…

に行ってきた。 後ほどサウンドハウスの話はまとめる予定。 とりあえず、対策費用はアプリだけで2480万、サーバ類で2800万だったらしい。調査費は400万だそうだ。 しゃっちょさんのセキュリティ対策にかける意気込みはかなり伝わってくるお話だったと思う。

http://wasforum.jp/conf2008/ 今年は7/4、7/5の二日にわたるらしい。サウンドハウスとかカカクコムの話にid:ockeghemさんの話が聞けるんだ。 参加の予定ｗ

http://www.hash-c.co.jp/d/20080615.html 確かに、要件としてセキュリティが挙げられていないと無理だろうなぁ。 でも、SQLインジェクションやXSSを正常に動いていないバグとして考えると特にセキュリティ要件として入れなくてもいいような気がするんだけど…

http://sourceforge.jp/projects/securecoding/document/securecoding_staff_report_2008_05_30/ja/1/securecoding_staff_report_2008_05_30.pdf http://www.ipa.go.jp/security/awareness/vendor/programming/a04_03_main.html をみて思ったんだけど、Perl…

http://www.tokumaru.org/d/20080601.html#p01 なかなかすばらしいですね。 まあ、こんなの以前書いてみたけど、今一ですねｗ いらないことをいっぱい書いてるしｗ

ちと、幾つか気になったことがあったので。 WAFを導入してもアプリケーションの脆弱性を完全に保護することは不可能です。WAFの防御方法はブラックリスト方式であるため予め分かっている脆弱性しか保護できません。 F5のApplication Security ManagerやCitri…

http://netsecpodcast.com/ ニュースサイト？

http://devcentral.f5.com/weblogs/macvittie/archive/2008/05/14/3260.aspx ちと読んでみる。

http://searchsoftwarequality.techtarget.com/news/article/0,289142,sid92_gci1313797,00.html ご指名受けたのでｗ これも後で読む

http://code.google.com/p/doctype/wiki/JaArticlesXSS 後で読む

http://blog.ohgaki.net/waf#more993 後で読む

忘れないようにｗ今日の22時からはガイアの夜明けを見ないと。 http://www.tv-tokyo.co.jp/gaia/backnumber/preview080520.html って忘れそうな気がする・・・

http://internet.watch.impress.co.jp/cda/special/2008/05/14/19538.html http://internet.watch.impress.co.jp/cda/special/2008/05/15/19559.html ここんとこSQLインジェクションはやっているからなぁ。 というわけで検査ツールですよｗ http://webappsec…

http://itpro.nikkeibp.co.jp/article/NEWS/20080421/299656/ http://isc.sans.org/diary.html?storyid=4310 まあ、理屈上できないわけではないけどすげぇ

http://msdn.microsoft.com/ja-jp/library/cc402232.aspx 後で読む

http://enterprisezine.jp/article/detail/335 後で読む http://enterprisezine.jp/article/corner/41/ とかも

http://motivate.jp/archives/2008/04/post_153.html http://www.abovetopsecret.com/forum/thread350381/pg1 http://www.abovetopsecret.com/forum/thread350381/pg2 こわっ！！

http://www.net-security.org/dl/insecure/INSECURE-Mag-16.pdf 日本のソフト開発の話が出ているっぽいので、後で読む

http://www.soundhouse.co.jp/news/20080418.pdf なかなか興味深い。 最後の方は現状のユーザ企業の意識を表しているようで興味深い。 実際のところ、開発者によってセキュリティ意識というのはかなり違う。Webアプリの開発を仕事としている企業でも、きちん…

http://www.ipa.go.jp/security/vuln/iLogScanner.html SQLインジェクション検出ツールらしい。ちょっと期待したのだけど、SQLインジェクションの攻撃に特化したログ解析ツールかよorz つかえねぇｗ ってか、「うそ！大げさ！まぎらわしい！」表題だぞ。JARO…

http://gihyo.jp/dev/serial/01/php-security/extra/001207 うーん、ちと違う気がする。予期しないエラーが発生した場合、すでに遅いと言うことがあると思う。 たとえば、バッファオーバフローとか。SQLインジェクションでも間違ったコードを書いているとエ…

この間、効率のよい検査手法って野を思いついたのでメモってみる。 検査パターンとして以下の３つを各パラメータに入れてみてその応答の違いを見ればよいのではないか？ ' '' '0' または " "" "0" これら2つの組を頭から入力して行き、どこか一つでレスポン…