http://www.asahi-net.or.jp/~hc3j-tkg/unicode/ この辺で何か面白いことできないかなぁ?

SQLインジェクション対策にはPrepared Statement使え、XSS対策にはタグを使うな、エスケープしろとかいわれるけれども、本当にそれだけで十分なの? 脆弱性が発生する仕組みがわかって言ってるのならいいんだけど、そうじゃなくてただ機械的に対策をとってい…

すみません。すごく遅くなりましたが、第3回の議事録と、第4回の会計報告と議事録を公開しました。 http://skuf.s-lines.net/hiki/?report20060617 http://skuf.s-lines.net/hiki/?report20061103 http://skuf.s-lines.net/hiki/?SKUF+Meeting%B2%F1%B7%D7%C…

http://blog.nikkeibp.co.jp/pconline/security/2006/12/sonoda008.html あー、そうそう、こういうことが言いたいんだ。 高木先生のアレは開発者にとってすごくいいガイドラインだとは思うんですよ。 でも、アレが守られていることを開発者じゃない人が、ど…

http://www.ipa.go.jp/security/vuln/event/200612.html 行けなかったので、これでも読んで涙を流しますw高木先生の資料を見て思ったこと。 http://www.ipa.go.jp/security/vuln/event/documents/200612_5.pdf 確かに、これはいいんだけど、使えるのは開発者…

http://www.itmedia.co.jp/news/articles/0612/25/news037.html えーと、ただの無線スポット展開するんですか?w MACアドレスなんて認証に使えませんよ。 こんなの登録する人が馬鹿を見るようなサービスだなぁw 犯罪を助長するつもりはないので･･･

白菜4分の一を一気に一人で食うもんじゃないw

http://www.ipa.go.jp/security/personal/kujo_manga/08.html って、ちょっとまてぇぃ>IPA。 いまどきWEPを推奨かよorz WEPなんて、暗号化されてないのと同じなんですが･･･ WPAか、WPA2にしとこうよ･･･※追記 ぐはっo....rz http://www.ipa.go.jp/security/ci…

DBとフレームワーク側の文字コードが違うと、PreparedStatementを使っていてもSQLインジェクションが発生しちまったよorz あ、ちなみにフレームワーク側Unicodeで、DB側S-JISって奴での検証ね。 逆の場合、どうなるか試してみる価値があるかなぁ? というわけ…

http://www.owasp.org/index.php/Category:OWASP_Orizon_Project どうやら、コードレビューツールを作成するプロジェクトらしい。 今後に期待。

http://japan.cnet.com/news/biz/story/0,2000056020,20338740,00.htm なるほど、そういうことか。

http://openmya.hacker.jp/hasegawa/public/20061209/momiji.html 面白いw タダちょっと気になったのはこの問題はXSSやディレクトリトラバーサルだけの問題じゃないってこと。 SQL Injectionや、Command Injectionなどでも起こりうる問題なんだけど、はてな…

http://www.asahi.com/national/update/1213/TKY200612130126.html マジか? Webアプリの脆弱性検査ツールを作って公開した場合も「不正アクセス禁止法幇助」に問われるのかな? 開発する側は、あくまで、アプリを開発したときのセキュリティ検査を簡単にする…

http://books.google.com/ こんなんあったんや。 色々な本が読めそう(全部英語だけどw)。 こんなんとか http://books.google.com/books?q=Hacknotes&btnG=Search+Books http://books.google.com/books?q=Web+Application+Security&btnG=Search+Books&as_brr=0

http://codezine.jp/a/article/aid/739.aspx おもしろそ〜 後で読んでみるかな。

http://rgaucher.info/beta/grabber/ Webアプリケーション脆弱性検査ツール。 ちと見てみたけど、ここら辺が検査できるらしい。 Cross-Site Scripting SQL Injection (there is also a special Blind SQL Injection module) File Inclusion Backup files che…

ハマりまくりw

ぬーやはり、JAVAでは「0x5c」と「0xa5」は別物として認識して、バックエンドのDBがMySQLだと「0x5c」と「0xa5」は同じもの「\」として認識するっぽいorz というわけで、Unicode周りで、色々問題が出てきそう。というかすべてにおいて文字コードは統一しない…

XSS対策の基本は、タグを使わせないことだと思うんだけど、Blogなどのようにどうしても使いたい場合は、どうしたらいいだろう? はてなの対策は一般的に有効なんだろうか? http://hatenadiary.g.hatena.ne.jp/keyword/%E3%81%AF%E3%81%A6%E3%81%AA%E3%83%80%E…

自分のダメさ加減を再々認識orz

http://rocketeer.dip.jp/unicode/index.htm うは、こういったのできるだろ〜なぁと思いつつ、ほったらかしにしてる間に・・・ 後で読もう

http://www.itmedia.co.jp/enterprise/articles/0612/06/news103.html ふむふむ。最近はデザイン会社がアプリ作ってるところが多いからなぁ。 そういったところはどうしても弱かったり･･･ でも、検査ツール高いんだよねぇorz 受け入れ側では検査できなかった…

http://www.ikias.com/saiki/2006/12/post_31.html こんな強いウィルスはいやかもw

http://jp.fon.com/ 無料の無線APスポットを作ろうというらしい。 この間のNT-Com2の話を元に、ネタとして参加してみようっとw

http://takagi-hiromitsu.jp/diary/20051227.html#p02 今更ながらに反応してみる。 今一、よく分からなかったけど、 http://kmaebashi.com/zakki/zakki0042.html をみて、やっと理解。 まぁ、「信頼できないもの」をそのまま使うと、意図しない動き(例えばSQ…

いろいろあってぐったり中

上の文章を書いて、思ったのだけど、下手に攻撃手法が細分化されてるから混乱しやすい? 脆弱性を大雑把に分類すると、「仕様による脆弱性」と「実装による脆弱性」の二つにわけられるかな? 仕様による脆弱性 文字通り、実装で何とかできない脆弱性。それこそ…

XSS Fragmentation Attackなるものがあるらしいが、こんなこといったら、SQL Injection Fragmentation Attackなんてものも出来まっせ。 XSS Fragmentation Attackは、2つの入力フィールドに「」のようなデータを入れてチェック機能を回避するらしい。 SQL In…

すれば、やすみぃ。

http://nmap-online.com/ オンラインでNMAPをかけてくれる。悪用すると、アレだけど、Firewallとかがしっかりかかっているか調べるのに使える。 ただし、このサイトが信用できるかどうかは自分で決めないと･･･[12/4追記] 試してみたら、関係のないIPでもスキ…