と言うことをたまに考える。 アプローチとしては2つあって、一つは、フレームワークや、言語側で安全で無い実装は出来ないようにしちゃうというもの。もうひとつは、プログラマを教育すること（これにはコーディング規約を作ってそれを守らせると言うのも含…

Webアプリを作るうえで、SQLやプログラム言語、HTMLの知識は必須だと思うんだ。HTTPは無いよりあったほうがいいが必須か？と言われるとちょっとそうでも無い気がしている。で、SQLとプログラム言語、HTMLを一から勉強する場合、SQLならSQLだけ、プログラム言…

私が3年前（2006年）に「SQL Injectionの仕組みと対策」を執筆していた時には、既にJavaScriptインジェクションやSQLインジェクション攻撃は比較的広く知られていました。この問題はそれ以前からスラッシュドットジャパンでも取り上げられていました。/.で取…

http://www.123kobe.com/doc/writing/ 後で読む

http://bakera.jp/ebi/topic/3883 を見て、入力面倒だからID/パスワード入れなくてもいいように設計しているという簡単ログインにした理由で、個体識別番号で認証しているのなら、個体識別番号をID代わりにして、パスワードに10桁以上の数字を入れること&3回…

昨日書いたネタの続きだけど、そういえば、iモードIDって送信されないこともあるんだった。 http://www.nttdocomo.co.jp/service/imode/make/content/ip/#imodeid SSL使ってる場合、昨日のコード使えねぇじゃんw 結局、PHPのセッションIDきちんと使いましょ…

ワッサーでつぶやいていて、PHPで個体識別番号をセッションIDとして使う方法を教えてもらった。http://wassr.jp/user/nihen/statuses/skctoRFZ3G 目からうろこが落ちた。 http://pastebin.com/m74e…

あちこちのサイトや本で初心者向けと称してサンプルコードが幾つか載っているのがあるけど、その多くはセキュリティ上問題があることが多い気がする。まあ、実例を挙げると名誉毀損で訴えられるとやなのでやらないけど（意気地なしｗ） 例としてあげるとこん…

http://www.mew.org/~kazu/doc/japanese.html 後で読む

ある本（確かMSのセキュアプログラミングの本だったと思う）に、「セキュリティテストなんてムダだからオレやんないよ」と書かれていた記憶がある。その他、コードレビューしとけばセキュリティテストいらないんじゃね？という話も聞いたり、聞かなかったり…

前回ツールの欠点を書いたけど、Disるだけではひどいので、ツールを使う利点と言うのをあげてみるｗ 検査工数を大幅に減らせる 自動検査ツールを使わない場合、WebScarabとかProsなどで、手動で検査しなくてはいけないわけだが、コレが意外と手間がかかる地…

とまぁ、要件に対するチェック方法として、自動検査ツールを使うと言うのは一つの解だと思う。しかし、現状の検査ツール（商用、フリー問わず）で全ての脆弱性が見つけられるわけではない。とはいえ、非常に簡単なボットなどで利用されるような脆弱性はある…

夫ユーザがXSSという、バグのような脆弱性のようなものに熱中しています。やってみたら？と言われて地球防衛軍で監視したところ、平日・休日関わらず、一日のうちに何度も、攻撃がされていました。alert(document.cookie);やjavascript:alert(document.cooki…

http://openmya.hacker.jp/hiki/hiki.cgi?一人寂しくクリスマスを過ごす会 なんてとこから飛んできた人は？手を挙げなさいｗ

MySQL4.1以降でないとサーバーサイドPreparedStatementはサポートされていないようだ。 http://dev.mysql.com/tech-resources/articles/4.1/prepared-statements.html http://dev.mysql.com/doc/refman/5.1/ja/connector-j-reference-implementation-notes.h…

と言う疑問がわいてきたので、ざっとソースを確認してみた。 PreparedStatement関連はcom.mysql.jdbc.PreparedStatement.javaかなぁと思ってsetStringメソッドを見てみた。 public void setString(int parameterIndex, String x) throws SQLException { // i…

前から思っていたことなんだけど、人が経験できることというのは、意外と少ない。また、事実は小説より奇なりとも言うように、実体験することは思っていたことや、想像していたことよりスゴイということが多々ある。 普段自分が何気なく体験していることが、…

彼氏が脆弱性を報告してた。別れたい。Hiddenフィールドを使っていることを脆弱性と報告された時なんか恥ずかしいｗｗ下向いちゃうしｗｗ男にはせめてSQLエラーを発生させてほしい・・・IPAとかにほうこくされたら・・・・もう最悪ｗｗせめて普通にXSSやSQL…

(ISC)^2からスパムっぽいメールがやってきた。つたない英語力で理解してみたら、どうやら「CSSLPが試験なしで取れるぜ！！」ということのようなんだけどあってるのかなぁ？ ちなみに取得方法は以下のURLからってことらしい。 http://www.isc2.org/experience…

この間のまっちゃ４４５の懇親会で出てた話なんだけど、セキュリティのことを考えずにアプリを作れるフレームワークがありゃいいんじゃないの？という意見がid:sonodamさんから出てた記憶がある。 実際、そういうフレームワークを作れんこと無いと思うんだけ…

http://ameblo.jp/argv/entry-10144604985.html まさに、安全でないサンプルコードがコピーされて大量に出回っているよねぇ。 初心者向け本とかで、最初っから問題がないコードで解説して行ってくれればいい気がするんだが。 そんなことを445の懇親会で話し…

http://d.hatena.ne.jp/kazu-yamamoto/20080924/1222224226 なるほどと思うところがある

http://d.hatena.ne.jp/higaysuo/20080901/1220241148 コーディングに起因する脆弱性は、ソースコードレビューすることで結構減らせるよなぁ。その上、教育にもいいかもしれない。 プログラマな人はきれいなコードをもっと読んだほうがいいと思う。けど、き…

いやぁぶつくさつぶやいているだけでw、みんながいろいろネタを発言してくれるので、ブレインストーミングに使うにはいいっす。

http://www.hyougo-roudoukyoku.go.jp/seido/anzen_eisei/anzen_seido/riskassessment.pdf http://quality-up.jp/it_risk/index.html

参加した人お疲れ様でした。 会場に人が多くていすが足りなかったとか、ぜんぜん参加者の方と話せなかったとか心残りがありますが、非常に面白かったです。 まあ、内輪の人が固まっていたので、そこを今後何とかしないといけないなぁと思います。次回は後ろ…

最近検証している某ツールなのだが、結構使えそう。これは期待できる。中身のロジックも考えてたとおりっぽいしｗ まあ、何のことなのかはひ・み・つということでw

今一よくわかってないけど、自分自身の理解の確認のために書いてみる。 まず、HTTPSの利点だが、これは以下の2点が挙げられると思う。 正しい接続先であることを信頼できる。 通信が暗号で行われるため、盗聴されるリスクをほぼなくせる。 さて、多くの人の…

SDLのやり方考え中。 主に設計＆コーディング規約みたいな感じだけど、アイデアとしては、アプリの機能を細分化して、チェックリストみたいなのを作る感じかな？ 例えば、こんな感じ。 ■指定したファイルへのアクセス ・ファイルが幾つか特定できている場合 …

WASF カンファレンス 2008で「ワフ」と言う話が出たので、「ワフ」より「わふ」のほうが間抜けじゃないか？とtwitterで書いたら、 http://twitter.com/ten_forward/statuses/873291607 とレスをもらったので、参考になる絵を探してみたｗ http://upload.wiki…