ikepyonのお気楽な日々〜技術ネタ風味〜 このページをアンテナに追加 RSSフィード

気になった日々のニュースとメモのためのリンクと戯言のページ

To Do(というかやりたいこと。何時終わることやら)
-ITIL導入のための成熟度チェックシートみたいなの(あると便利だよね?)
-Hacknotes Web Security Portable Reference和訳(出版社募集中)
-Webアプリケーションセキュリティ検査ツールの改良(一応完成)
-Hacker HighSchoolの資料の日本語訳
-OSSTMMの日本語訳
-「燃えるセキュアプログラミング」若しくは「サルでも分かるセキュアプログラミング」とか書いてみたいなぁみたいな。

これだけはチェックしときなはれ!!受入れテスト用セキュリティチェックリスト公開中
Webアプリケーションセキュリティはてなぐるーぷ(テスト中やで)
SQL Injectionの仕組みと対策公開中
RSS feed meter for http://d.hatena.ne.jp/ikepyon/
Secure Coding に入ろう!! [MLの詳細]
メールアドレス
SKUF Meeting なかのひと

2006-03-30 orz

[]SQL Injection攻撃の脅威と対策について(from セキュリティホールmemoさんとこ) SQL Injection攻撃の脅威と対策について(from セキュリティホールmemoさんとこ)を含むブックマーク SQL Injection攻撃の脅威と対策について(from セキュリティホールmemoさんとこ)のブックマークコメント

http://www.cyberpolice.go.jp/server/rd_env/pdf/20060330_SQLInjection.pdf

くう、作ったものとちとかぶってるけど、こっちの方が詳しいかな?ざっとしか読んでないけど、警察庁でここまで公開していいんですか?w

ま、私の文章は全く役に立たないからなぁorz

[]Forensics Wiki(from id:dacsさんとこ) Forensics Wiki(from id:dacsさんとこ)を含むブックマーク Forensics Wiki(from id:dacsさんとこ)のブックマークコメント

http://www.forensicswiki.org/index.php/Main_Page

おお、なんかすごそう。

[]開発者のための正しいCSRF対策 開発者のための正しいCSRF対策を含むブックマーク 開発者のための正しいCSRF対策のブックマークコメント

http://www.jumperz.net/texts/csrf.htm

なかなか参考になります。

CSRFについてはちと考えてることがあるので、暇が出来たら書きたいなぁ。

しかし、この部分がわからん。

まず、アプリケーションの作りとして、リクエスト1が必ずPOSTを用いるような形にする。これによってCSSXSS脆弱性を利用したhiddenフィールド情報の抜き取りを防ぐことができる。

ちとFireFoxIEで試してみたけどPOSTで表示しても、JAVAScriptでhiddenフィールド情報が抜き取れるなぁ。CSSXSSだと抜き取れないのかなぁ?

あーそういうことか、POSTだからGETであるCSRFじゃ無効ってことかなぁ?

しかし、POSTでリクエスト1を要求して、その内容を取得してJavascriptリクエスト2を呼び出すJavascriptのあるページをGETで呼びだしゃどうなるかなぁ?

なんとなくCSRFが利きそうな気がするんだけど・・・

[]ISECOM ISECOMを含むブックマーク ISECOMのブックマークコメント

http://www.isecom.org/osstmm/

う〜〜〜、訳してみると宣言して・・・・orz

根性なくてすみません。

yamagata21yamagata21 2006/03/31 13:35 レスポンス1のhiddenに存在するワンタイムトークンを取得するために、CSSXSS脆弱性を利用しようと考える時、CSSXSSはあくまでもスタイルシートの呼び出しなのでGETでの送信となるため、リクエスト1がPOSTでのみ受け付けるパラメータが必要な構成になっていれば大丈夫だ、ということなのだと思います。

金床金床 2006/03/31 14:59 その通りでございます。

ikepyonikepyon 2006/03/31 15:53 なるほど、ありがとうございます。
ワンタイムトークンでCSSXSSの脆弱性を使った場合のCSRFは対策できるけど、怪しいページにアクセスした時に、 JavaScriptを使ってゴニョゴニョされているとCSRFはワンタイムトークンでは防ぎようがないという理解でいいのかな。こんな場合にも対策しようとするとパスワードとか入力を促す必要があるという理解でいいのかな?
こりゃ利便性落ちるし、難しいなぁ。

yamagata21yamagata21 2006/03/31 16:08 ぇと、(対象サイトにXSSが存在しているか/ブラウザにバグが存在しているかで無い限り、)JavaScriptを使って(他サイトの)hiddenの値は取り出すことは出来ないはずです。なので、hiddenのワンタイムトークンが使われていれば、初手はCSSXSSとなるはずで、それはリクエスト1をPOSTにすることで防げるということになると思います。(現状では。)

ikepyonikepyon 2006/03/31 16:31 なるほどhidden値までは引き出せないんですね。了解です。
全然JavaScriptに詳しくないものですから^^;

トラックバック - http://d.hatena.ne.jp/ikepyon/20060330

2006-03-29 すすまねぇ

ピタッと例のものが止まってます。

いかんなぁ。とりあえずの完成の目処は4月10日あたりかな?

[]ウィニー住基ネット情報流出 北海道斜里町職員PCから ウィニー:住基ネット情報流出 北海道斜里町職員PCからを含むブックマーク ウィニー:住基ネット情報流出 北海道斜里町職員PCからのブックマークコメント

http://www.mainichi-msn.co.jp/today/news/20060329k0000m040154000c.html

まあ、ウィニー情報が流出したのは、百歩譲ってしょうがない。

でもさ、15日に発覚しておきながら偉い人の「パスワードは昨日変更した。住基ネットの端末パソコンは、認証カードがなければ使えないので問題はない。」はないんじゃない?確かに、認証カードがないと使えないかもしれないけど、認証カードは全てあることが確認されてるの?とか、何故に2週間もパスワードが変更されてないの?とか、突っ込みどころが満載orz

それ以前に「住基ネットパスワードが出たことがそれほど重要なこととは思わなかった」 という話も出ているので、おいおいといいたくなるなぁ。

世間のパスワードに対する認識って、所詮この程度かorz。だから、パスワードを書いたポストイットディスプレイに貼り付けてたりするのかorz

トラックバック - http://d.hatena.ne.jp/ikepyon/20060329

2006-03-26 ねむっ

今日は朝早く出かけてました。おかげでねむいっす。

それはともかく、書き書き一応終了。後は絵とか作ったり推敲したりして完了かな?

何とかなりそうですよ。

[]ESA研究者重力の創生に成功 ESAの研究者が重力の創生に成功を含むブックマーク ESAの研究者が重力の創生に成功のブックマークコメント

http://slashdot.jp/science/article.pl?sid=06/03/26/1431256

http://arxiv.org/ftp/gr-qc/papers/0603/0603032.pdf

うぉっ、マジか?

理論物理屋さんを目指してたものにとってすげーわくわくするなぁ。

vulcainvulcain 2006/03/27 00:02 それよりも「http://」から始まるのにURI中に「ftp」と含まれてる方が気になったりw

トラックバック - http://d.hatena.ne.jp/ikepyon/20060326

2006-03-25 ぐぅ このエントリーを含むブックマーク このエントリーのブックマークコメント

ちと熱っぽいと思ったら微熱があんでやんのorz

トラックバック - http://d.hatena.ne.jp/ikepyon/20060325

2006-03-24 今日は休み

ということです。

[] を含むブックマーク のブックマークコメント

SKUFは常にネタを募集中ですw。聞きたいネタがあればどんどん言ってください。

AzureStoneAzureStone 2006/03/29 10:07 Webアプリケーションの監査(インベント)ログ

トラックバック - http://d.hatena.ne.jp/ikepyon/20060324

2006-03-21 今日は天気もよいので このエントリーを含むブックマーク このエントリーのブックマークコメント

近くの河原日光浴しながら書き書き中。

なかなか気持ちがよいです。普段の落ち込みも解消されそう。

vulcainvulcain 2006/03/22 07:41 ・・・何か違うとこに来たのかと思ったw

まっちゃまっちゃ 2006/03/22 16:05 たぶん、フィッシングサイトですよ。

ikepyonikepyon 2006/03/22 17:03 フィッシングサイトだなんて、ひどいw

やたやた 2006/03/22 17:57 フィッシングサイトは某int21h.jpでしょ(何)
#あそこは金銭目的のフィッシングってより、「俺好みの子来ないかな〜?」ってフィッシングサイトですが(w

まっちゃまっちゃ 2006/03/22 18:01 int21h.jpは、アクティブにフィッシングしないので
ファーミング?もしかして、育て系???

IkegamiIkegami 2006/03/22 18:04 餌の付け方を知らない悪寒。

yamagata21yamagata21 2006/03/22 19:09 網ですくいます。(ぇw

IkegamiIkegami 2006/03/23 13:54 網を入れた形跡がありません。

トラックバック - http://d.hatena.ne.jp/ikepyon/20060321

2006-03-19 綺麗でした

おもむろに思い立って偕楽園まで梅見に行った。

[]ジャスダック:取引システム情報流出 ウィニーで? ジャスダック:取引システムの情報流出 ウィニーで?を含むブックマーク ジャスダック:取引システムの情報流出 ウィニーで?のブックマークコメント

http://www.mainichi-msn.co.jp/today/news/20060319k0000m040125000c.html

ほんとに大丈夫なのかなぁ?

結構、このもれた設定でサーバが立ってるってことないかなぁ?

h-ふじたh-ふじた 2006/03/20 17:15 ほほー>偕楽園
この次の週末は、時間があれば日本3名園のひとつにいってみやう。。。

IkegamiIkegami 2006/03/20 17:20 岡山出張ですか?と聞いてみるテスト。

トラックバック - http://d.hatena.ne.jp/ikepyon/20060319

2006-03-18 文章かきかき

とあるものを書き書き中。ぬーなかなかまとまらん。

[]どんなもんなんだろ? どんなもんなんだろ?を含むブックマーク どんなもんなんだろ?のブックマークコメント

ここのところのWebアプリへの攻撃に関するニュースのおかげで、開発者セキュリティ意識って変わっているんだろうか?でもって、どういう対策をすればよくて、どういう検査をすればいいのかってわかってるのかなぁ?

まさか今時うちは小さいから攻撃なんて受けないよとか思ってないよなぁ。

対策の概要は結構出回ってきているけど、実際のところとかないよなぁ。それに検査手法についても、具体例とかないし。ま、これは自分が知らないだけかもしれないけど。

なけりゃ作れとは思うんだけど、検査手法の解説って攻撃手法の解説だから下手すると幇助罪なんてことになるかもと思うとなかなかねぇ。

ととあるものを書き書きしているときに思った、土曜の昼下がりw

トラックバック - http://d.hatena.ne.jp/ikepyon/20060318

2006-03-16 ちとむかつき中

トラックバック - http://d.hatena.ne.jp/ikepyon/20060316

2006-03-14 ねむ〜

果物出さなきゃいけないのに、すすまねぇorz

まだ、時間はあるのでいいのだけど、このままずるずる行きそうで…

何の成果物かは出来てからのお楽しみということでw

[]情報漏洩事故の公表を求める「政府の基本方針」、対象は民間だけでいいのか 情報漏洩事故の公表を求める「政府の基本方針」、対象は民間だけでいいのかを含むブックマーク 情報漏洩事故の公表を求める「政府の基本方針」、対象は民間だけでいいのかのブックマークコメント

http://itpro.nikkeibp.co.jp/article/Watcher/20060312/232285/

後で読む。

[] ライブドアビジネスモデルとは何だったのか  ライブドアのビジネスモデルとは何だったのかを含むブックマーク  ライブドアのビジネスモデルとは何だったのかのブックマークコメント

http://nikkeibp.jp/sj2005/contribute/f/01/

結構面白い。そっか〜こうやれば危ないお金をきれいに出来るんだw

しかし、株なんて会計分からないと絶対手出したくないなぁ。

[]ウェブアプリケーション開発者向けセキュリティ実装講座 ウェブアプリケーション開発者向けセキュリティ実装講座を含むブックマーク ウェブアプリケーション開発者向けセキュリティ実装講座のブックマークコメント

http://www.ipa.go.jp/security/vuln/event/20060228.html

第2回目らしい。行けるかどうかわからないけど、申し込んでみた。

受付番号2836なんですが、これって今までの通し番号かなぁ?

vulcainvulcain 2006/03/15 03:50 今申し込んだら2837ですた。>実践講座
通し番号みたいッスねぇw

トラックバック - http://d.hatena.ne.jp/ikepyon/20060314

2006-03-12 ぼけ〜〜〜

としてました。

[]Catalyst Catalystを含むブックマーク Catalystのブックマークコメント

http://www.drk7.jp/MT/archives/000933.html

AzureStoneさんに教えてもらった。perlフレームワークらしい。

[] を含むブックマーク のブックマークコメント

http://evuln.com/

まーさんに教えてもらった。後で読む。

トラックバック - http://d.hatena.ne.jp/ikepyon/20060312

2006-03-10 ちょっとのんだ

会社飲み会で普通に飲んだ。

[] を含むブックマーク のブックマークコメント

http://d.hatena.ne.jp/sonodam/20060310#p5

やっぱり似たようなこと考えるんですねぇ。

現在の状況としては、持ち帰った情報が漏えいしてることが多いわけで、それをなくすには持ち帰らせないようにするのが対策としてはいいような気がするけど、現実としては無理なわけで。

対策として持ち出して、漏えいしても他人には情報が使えないようにするという方法があるわけなんだが、当然これも万全ではないわけで、使う人に依存するんだよなぁ。

結局最後は使う人に情報の取り扱いについて理解してもらうというのが対策だろうなぁ。その上で万が一それをケアレスミスなどで漏えいしても最小限の被害にするのがシステムだと思うのだけど、SIerとかってまずはシステムありきという話にしちゃう気がするんだよなぁ。

トラックバック - http://d.hatena.ne.jp/ikepyon/20060310

2006-03-09 (-.-)zzZ

昨日は最終逃したので歩いて帰った。

なんで後続の電車が遅れてると待つかなあ。それさえ無ければ最終間に合ったのに

[]情報漏えい 情報漏えいを含むブックマーク 情報漏えいのブックマークコメント

情報漏えいしてもニュースになるだけで、実際に金銭的被害に直結しないからあまり対策進まないのかなぁとか思ったり。

ベンダーとかがよく暗号化して文書を保存するから大丈夫っすとか言ってるけど、そんなの実際に情報を扱う人がザルだと意味ないんだけどねぇ。

情報を扱う人を情報の大切さを理解してもらえれば少しはましになるのかなぁ。

もそっと、他分野のやり方見習わないとだめかもなぁ。うーん、難しい。

まーまー 2006/03/10 00:45 タクシー・・は?

ikepyonikepyon 2006/03/10 01:11 歩いて30分程度の距離なのでタクシー乗るまでもないかと。

はるはる 2006/03/10 11:29 金銭的に直結しないと言うか、具体的にどんな被害に繋がったかまでは報道されないってのと、やはりウチの子に限ってっていう対岸の火事的なところはあるんでしょうね。

実はけっこう情報漏えいって企業のTOPが気づいてないか意識してないだけでおきてるんですけどね。

comikencomiken 2006/03/10 16:59 実際に金銭的被害に直結するから、歩いて帰られたのですね(笑
就職一年目のころ、手持ちもなくカードを使う習慣がなかった私は 5時間歩いて帰ったことがありました。金曜日でした。

ikepyonikepyon 2006/03/10 19:00 情報漏洩がTOPに伝わると中間管理職の責任問題になったりするから、ちょっとしたことなら報告もなさそうですしねぇ>TOPが気づいてない

根が貧乏性なものですからw>comikenさん

トラックバック - http://d.hatena.ne.jp/ikepyon/20060309

2006-03-08 ねむい

FedoraCoreをうちのメインマシンインストールしてみた。入れただけなのでアレだけど・・・

[]Winny個人情報流出まとめ(from id:ripjyrさんとこ) Winny個人情報流出まとめ(from id:ripjyrさんとこ)を含むブックマーク Winny個人情報流出まとめ(from id:ripjyrさんとこ)のブックマークコメント

http://www.geocities.jp/winny_crisis/

まさに「みろ〜、情報がゴミのようだ〜」(by ムスカ)って感じorz

これからもまだまだ出てくるんだろうなぁorz

ya_taya_ta 2006/03/08 12:28 Fedoraはメンテし続けるのが面倒(大変でもある)ので、うちはCentOSにしてまふ。
#Debianにしろといわれそうですが、RedHat系の操作に慣れきっちゃってるもので。

ikepyonikepyon 2006/03/08 18:24 私はSlackwareから入って、Redhat、Turbo linux、Vine、Debianと色々使ってますねぇ。どれも物になってませんがorz

トラックバック - http://d.hatena.ne.jp/ikepyon/20060308

2006-03-07 ずるずる

当社比作業効率が30%程低下していますw

[]Winnyによる情報漏洩 Winnyによる情報漏洩を含むブックマーク Winnyによる情報漏洩のブックマークコメント

このところの情報漏洩ネタを見ていると、うちで仕事するため持出して漏洩とか、個人PCを持ち込んで仕事してたらとかどうも、漏洩した人の意識の問題というのもあるのだけど、マネジメントの問題の方が大きいような。

大体、うちで仕事をしなくては間に合わないほど仕事を振るほうがおかしいし、個人PCを持ち込んでというのもおかしいと思うのですよ(ま、現実はそんなものだろうけど)。

組織としては資料を持出してうちで仕事をしなくてもいいように仕事量を配分すべきだろうし、個人PCを持ち込まなくても仕事が出来るように環境を整えるべきだとは思うのだけど、なかなかそうは行かないのが現実という厳しいものかorz

特に小さい企業だと人も金もないからそうなるわけなんだが、金がありそうな大企業でもぼろぼろ漏れてるというのもなんだかなぁって感じ。

ま、経営とかそこらへんから考えんといけないのだなぁと改めて思った。

しかし、労働条件をどうにかするというのは実は対処療法なんだよなあ。情報セキュリティ重要性を理解してもらう〔知ってもらうだけではちとたりないと思う)ということが本質的な対策と思うんだけど。

[]EnCaseの開発元がクラックされてたとはorz EnCaseの開発元がクラックされてたとはorzを含むブックマーク EnCaseの開発元がクラックされてたとはorzのブックマークコメント

http://www.washingtonpost.com/wp-dyn/content/article/2005/12/19/AR2005121900928.html

なんかひどい話みたい。クレジットカード番号とかも盗まれてたらしい。

うーーむ。

トラックバック - http://d.hatena.ne.jp/ikepyon/20060307

2006-03-06 むずむず

しますなぁ。

[]セキュそば セキュそばを含むブックマーク セキュそばのブックマークコメント

いまさらながらだけど参加してきた。

いやあ面白かったです。やっぱり、すごい人は違いますw。

みんな、やっぱりプレゼンうまいよなぁ。

もっと精進せんと。

こういうのに参加すると、モチベーションがあがるのでその勢いでなんか成果を出したいなぁ。

しかし、冬の関越は8時に出ても混んでいるとは・・・誤算だった。車でスキーなんて夜とか朝の5時ごろ出るものだと思ってたのだが・・・

[]素人だらけの“IT劇団” ネットの力で超満員 素人だらけの“IT劇団” ネットの力で超満員を含むブックマーク 素人だらけの“IT劇団” ネットの力で超満員のブックマークコメント

http://www.itmedia.co.jp/news/articles/0603/03/news056.html

なんか、元気が出る記事だなぁ。SKUFも気負わずにやってきたいなぁ。

トラックバック - http://d.hatena.ne.jp/ikepyon/20060306

2006-03-03 明日はそば

一日ほぼ立ちっぱなしで腰が痛い。

明日のそばで直してきます。

[]努力なんて見せるもんじゃないw 努力なんて見せるもんじゃないwを含むブックマーク 努力なんて見せるもんじゃないwのブックマークコメント

と思う今日この頃努力を人に見せてどう?がんばってるでしょ、だから許してねというのはすごく嫌なんだよねぇ。

どうせやるなら普段他人には遊んでる風にしか見えないのに、人が見ていないところで努力して、すごい成果を出すみたいのがかっこいいなぁと思う。

[] を含むブックマーク のブックマークコメント

そろそろ、次のネタを考えないと。SQL Injectionはとりあえずいい加減ながら、まとめてみたから、次はXSSかなぁ?SQL Injectionは被害が見えやすいから結構簡単に対策とってもらえやすいけど、XSSは被害が見えにくいから対策とってもらえないしなぁ(某製品も言ってから3ヶ月たってるけど音沙汰なしだしorz)。

というわけで、次回策はXSSで行ってみるかな?

cubed-lcubed-l 2006/03/04 01:59 その某製品、バージョンアップでの対応になります。多分。

ikepyonikepyon 2006/03/04 15:46 まあそうでしょうねぇ>cubed-lさん

トラックバック - http://d.hatena.ne.jp/ikepyon/20060303

2006-03-01 ぐは〜

やっぱり忙しいですわorz

[]SQL Injectionの仕組みと対策 SQL Injectionの仕組みと対策を含むブックマーク SQL Injectionの仕組みと対策のブックマークコメント

こっそり公開していたのにw気がついたら結構アクセスあるなぁ。

というわけで、ちとばかり、危険な文字について追加してみた。

しかし、題名を「SQL Injectionのひみつ」としておけばよかったw

次は漫画で書くかw(絵心ないけどorz

cubed-lcubed-l 2006/03/02 12:33 殆どははてなブックマーク経由のアクセスじゃないですかね?

ikepyonikepyon 2006/03/02 21:43 はてなブックマーク経由ですねぇ。
たいしたことは書いてないんですけどね。

トラックバック - http://d.hatena.ne.jp/ikepyon/20060301

1900 | 01 | 06 |
2003 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 02 | 03 | 04 |
2011 | 01 | 02 |
Connection: close