かなり、疲れているらしいw

mixiで「諸君、私は戦争が好きだ」のネタを書いたら、変なことを思いついたｗ しかし、ネタ的に古いなぁ諸君、私はわふが好きだ 諸君、私はわふが好きだ 諸君、私はわふが大好きだ脆弱性が好きだ XSSが好きだ SQLインジェクションが好きだ ディレクトリトラ…

わすふでえすでぃーえると言う話があったので、ちと妄想してみる。 えすでぃーえるでは、そにぃの中の人がせきゅあな設計はコストがかかるけどれびゅぅはあんまり高くないからいいかもってな感じだったけど）、実際設計段階でセキュリティを考えて設計すると…

わすふにてわふと言うネタがあったので、ちと妄想してみる。 実際のところ、わふって高いわりに運用が面倒だし、単につながってるだけとか、電源入れてませんと言うところが多そうだな。 きっちり設定したらアプリが動きませんとか（それってアプリが悪いん…

はてなTシャツ欲しい！ ということで

SQLインジェクションにしてもクロスサイトスクリプトにしても命令を示す文字列がコマンドとデータを含んでいるから起こることが多いんだよなぁと今更ながらに思う今日この頃。 脆弱性のあるアプリはデータを受け取った場合、受け取ったデータがデータなのか…

http://www.ai-gakkai.or.jp/jsai/conf/2008/program/pdf/100419.pdf 参考になりそうなので、メモ

呑んでいて、話にあがったんだけど。本当のIT系プロというのは、全てのことについてプラスとマイナスを説明してくれる人だと思う。（ITに限らないと思うが） プラスしか言わない人は、かなり怪しいｗ それは、セキュリティが新興宗教に似ているということと…

セキュリティ業界ってなんとなく新興宗教っぽいなぁと。 「あなたのサイトは悪いハッカーに狙われているかもしれません。今ならこの製品を買えば、被害を受けることを防げます」とか、「 あなたのサイトが情報漏えい事件を起こしてしまったのは信心が足りな…

http://sankei-hito.iza.ne.jp/blog/entry/582238/ うち帰ってみてみるためのメモｗ

某所にて荒れていることについて一言。素人がやりたいことと素人に知って欲しいことは当たり前だけど違うんでないか？ 素人は度々結果だけを求める。で、本質を知りたがらない。なぜなら本質を知ることは面倒だから。というのが私の考えだったりする。しかも…

ぶっちゃけインターネット上の通信の盗聴のリスクって実際のところ結構低いんでないだろうか？というのをオレンジML*1を見ていて思ったしだい。 実際、通信を盗聴しようとしたら、通信系路経路上にスニファを仕掛けるか、通信元あるいは先にスニファを仕掛け…

http://b.hatena.ne.jp/hasegawayosuke/20080410#bookmark-8188576 を見て想像してみたw こういうこと？（違

http://itpro.nikkeibp.co.jp/article/NEWS/20080401/297727/?ST=system JASRACよ、お前もかｗ

今更だけどちといろいろいじってみたので、メモ代わりw Proxy Proxyとして機能して、リクエストを取得することができる。 Intercept 受け取ったリクエスト/レスポンスをインターセプトして、内容を書き換えることができる。内容の変更にはRAWデータでも、パ…

ISO認証とかISMSとか認証、プライバシーマークとかとっても実際に運用が回ってなかったら飾りにしかならんと思うんですけど。結構認証取るのが目的になってしまって、運用が回ってないところってあるんじゃないかなぁ？そういうところの第三者認証は飾りでし…

ちと、文章ネタに思案しているので、メモ代わりに。 脆弱性の切り口っていくつかあると思うんだ。 発生する事象よる切り口 XSSとか、SQLインジェクションとか 作りこんでしまう開発工程による切り口 要件定義とか、設計、コーディングとかとか 発生する原因…

http://anoda.cocolog-nifty.com/mad/cat2986968/index.html なかなか面白い。 要求とスペックは違うものとかためになるなぁ。

そろそろ面倒になってきたので、某所に公開するか。もちろん公開版はシグネチャなしにするけどw

http://itpro.nikkeibp.co.jp/article/Watcher/20080116/291197/ http://itpro.nikkeibp.co.jp/article/Watcher/20080214/293715/ ふむふむ、英語でなくてもプレゼンで使えるなぁ。

元ネタhttp://itpro.nikkeibp.co.jp/article/COLUMN/20080111/290867/ プログラミングの人気が高まるにつれ，自らのアイデアを表現したいと考える開発者がますます増えている。この表現方法は，ちょっとしたお遊びプログラムから，本格的なアプリケーション…

http://corp.livedoor.com/pressrelease/2008/02/0204-2.html FONのユーザーはライブドアのAPを無料で使えるらしい。 でも、今のところ期間限定なのが、ちょっとなぁ

http://www.rubyist.net/~matz/20080129.html#p02 ちと気になったのでメモ。ORマッパーによるDBへのアクセスというのは、DBのデータを抽象化してくれるので便利だとは思うのだけど、かなりオーバーヘッドが大きいと思う（実際のところはコード読んでないので…

ちと思い立ったので、作ってみたｗ http://webappsec.sakura.ne.jp/modules/xpwiki/?codeAnalysis まだ一つしか書いてないけど、ちょっとづつ増やす予定。でも、書くことって他にあるかなぁ？ というわけで、面白い脆弱性のあるコード誰か頂戴ｗ

ふと思い立ったので、NISTのNVD(http://nvd.nist.gov/download.cfm)を使って調べてみた。まあ、昔やった気もしないでもないがｗ 使用言語 脆弱性数 検索条件 PHP 7735 php Java 1001 Javaまたはjsp asp.Net 1157 asp たぶん、あんまし意味のない数字だろう（…

http://code.nanigac.com/ 取り組みとして面白いかも。 http://code.nanigac.com/forum/view/156 http://code.nanigac.com/source/view/370 とか面白いかも

http://handsout.jp/ らしい

いつもお世話になっているのであの人に 大切な人にクリスマスプレゼントを贈りたい！ ニンテンドーDS Lite クリスタルホワイト【メーカー生産終了】出版社/メーカー: 任天堂発売日: 2006/03/02メディア: Video Game購入: 11人 クリック: 246回この商品を含む…

諸般の都合により、トップからツールの募集をはずします。とはいっても、別の日に移しただけですけど… 近々(できれば正月明けぐらい)に新バージョンを公開できたらいいなぁとか思っちゃったりしたりして。

結構使える。結構いいのが、Javaのようなコードを書くことで、WebScarab経由のリクエストやレスポンスを加工できることかな。 こんな感じ。 /* Please read the JavaDoc and/or the source to understand what methods are available */ import org.owasp.we…