ikepyonのお気楽な日々〜技術ネタ風味〜 このページをアンテナに追加 RSSフィード

気になった日々のニュースとメモのためのリンクと戯言のページ

To Do(というかやりたいこと。何時終わることやら)
-ITIL導入のための成熟度チェックシートみたいなの(あると便利だよね?)
-Hacknotes Web Security Portable Reference和訳(出版社募集中)
-Webアプリケーションセキュリティ検査ツールの改良(一応完成)
-Hacker HighSchoolの資料の日本語訳
-OSSTMMの日本語訳
-「燃えるセキュアプログラミング」若しくは「サルでも分かるセキュアプログラミング」とか書いてみたいなぁみたいな。

これだけはチェックしときなはれ!!受入れテスト用セキュリティチェックリスト公開中
Webアプリケーションセキュリティはてなぐるーぷ(テスト中やで)
SQL Injectionの仕組みと対策公開中
RSS feed meter for http://d.hatena.ne.jp/ikepyon/
Secure Coding に入ろう!! [MLの詳細]
メールアドレス
SKUF Meeting なかのひと

2006-11-28 のどイタイ

のどが痛いし、耳の下辺りも押すと痛かったりする今日この頃。もしかして、おたふく?

[]アプリケーションセキュリティ強度 アプリケーションのセキュリティ強度を含むブックマーク アプリケーションのセキュリティ強度のブックマークコメント

アプリケーションセキュリティ強度は時間とともに低下するといわれる。

作りこんだアプリケーションがほかっていたら、脆弱性がぼこぼこ新しく生まれるもんじゃない。

作りこんだときに最初から存在していた脆弱性が、時間とともに発見される可能性が高くなるということだ。

絵にしたらこんな感じ(元々、社内勉強会資料用に作ったけど、なんとなく流れに合わないので削除したんで、こっちに掲載)。

f:id:ikepyon:20061128111508j:image

言ってみれば、セキュリティ強度は、元から存在する脆弱性の数に比例する。最初っから脆弱性が無ければ、セキュリティ強度はどんなに時間がたっても高いままのはずだと思う。ただ、たまに、新たな攻撃手法が考え出されてしまうので、ぼこっと脆弱性が生まれるだけで・・・

ま、脆弱性がないというアプリを作るのが難しいんだけど・・・

というわけで、作るときに、きっちりセキュリティ対策をしましょうということなんだけど、ねぇ。

[]Vulnerability Scanning Web 2.0 Client-Side Components Vulnerability Scanning Web 2.0 Client-Side Componentsを含むブックマーク Vulnerability Scanning Web 2.0 Client-Side Componentsのブックマークコメント

http://www.securityfocus.com/infocus/1881

RSS Security, JSON, Ajax Security, CSRFについてカバーされてるらしい。

後で読む

[]情報処理試験資格情報処理試験の資格化を含むブックマーク 情報処理試験の資格化のブックマークコメント

http://itpro.nikkeibp.co.jp/article/NEWS/20061127/255005/

うほっ。

結構いいかもと思った。特に更新制度は必要だと思う。

更新制度は試験だけでなく、CISSPやCISAのように、セミナーとか業務とかやったらポイントたまって、

ポイントがたまっていたら、更新というようにして欲しいけどね。

[]nmap online nmap onlineを含むブックマーク nmap onlineのブックマークコメント

http://nmap-online.com/

オンラインでNMAPをかけてくれる。悪用すると、アレだけど、Firewallとかがしっかりかかっているか調べるのに使える。

ただし、このサイトが信用できるかどうかは自分で決めないと・・・

[12/4追記]

試してみたら、関係のないIPでもスキャンできたよorz

というわけで、試験するときは自分が管理しているIPに対してのみにしないと。

まーまー 2006/11/28 23:38 素朴な質問。「ほかっていたら」?流れからすると・・・「アプリケーションが」だから穴があるとかそういうこと?それとも時間経過に関係があること?

ikepyonikepyon 2006/11/29 00:05 「ほかっていたら」は方言でしたか・・・
「放置してたら」ってことです。

トラックバック - http://d.hatena.ne.jp/ikepyon/20061128

2006-11-27 ぐったり

このところ、一人(涙)で飲みすぎですorz

[]検査ツール 検査ツールを含むブックマーク 検査ツールのブックマークコメント

なんで、今更ながらにWebアプリ検査ツールを作りたいと思っているかというと、ま、半分は自分の力試しというのもあるんだけど、自動化されたフリーのツールが無い&商用ツールが高い&使えねぇというのが理由だったり。

検査手法はちょこちょことあちこちに出てきているし、セキュアな開発手法についても一寸づつ出てきてはいるんだけど、やっぱり、簡単に検査できるツールが無いことには、開発時にちょこっと使ってもらうなんてことは出来ないしね。

と、思いつつ、数年orz

今度こそ、最後まで作ろうっと

トラックバック - http://d.hatena.ne.jp/ikepyon/20061127

2006-11-25 刺激になります

NTCom2に参加してきた。いろいろ刺激になりました。

[]コミュニティ コミュニティを含むブックマーク コミュニティのブックマークコメント

NTCom2に参加して思ったのは、勉強会に出る人って結構固定してる?ってこと。

参加したところ、知らない人がほとんどだったんだけど、十数人は知ってる人だった・・・

知らない人も、結構な割合でその人たちで知り合いのようだったし。

やっぱり、こういう勉強会って、普段出てこない人に参加してもらうという裾野を広げることが難しいなぁと思った。

後、懇親会に出てた人たちって、ほとんど常連さん?

だったら、ちょっと企画する側としては寂しいなぁ。SKUFもそうだけど、内輪だけで盛り上がるんじゃなくて、もっと、いろいろな人が懇親会に参加して、いろんな疑問や、意見を出してほしいなぁ。

ま、お初の人は敷居が高いかもしれないけど、そこは勇気を出して参加してみると、新しい世界が開けて面白いと思う。

勉強会もタダ聞くだけでなく、同じ技術者との交流をもっと楽しんでほしいなぁ。

SKUFでは、そのためにお菓子を用意してたりするし・・・

あとは、技術者だけでなく、ここまで、ITが広がっているんだから、一般の人に対するIT関連の勉強会を開くというのも面白いかもね。

しまった、MSにいったんだから、お菓子タイムOKかどうか聞いておけばよかったorz

yamagata21yamagata21 2006/11/26 10:43 最初に、あの部屋、飲食しても良いって言ってましたよー。
現に おにぎり食べたり飲み物飲んだりしてましたしw

まーまー 2006/11/26 12:16 それぞれのコミュニティ、固定化されているのが良くもあり悪くもありで、開催側からすれば集客ができているので問題なさそうに見えるけれど・・・という感じですね。
よそのコミュニティの心配より自分達の足元をまずはきちんとしないとですが。

haramizuharamizu 2006/11/27 10:22 当日はお疲れ様でした。いろいろな人に知ってもらうことができるようにと MSC などでも登場したりしています > Com2 。なかなか、まだまだ一般の人にはコミュニティの場というのはハードルが高いようですので、裾野を広げるような感じの活動をやっていきたいですね。

ちなみにゴミが出る場合だけ注意をしてもらえれば、お菓子とか飲食は OK です。

ya_taya_ta 2006/11/27 11:28 技術的な事だと、他とネタが被ったり似たような事ばっかりが多くなる
可能性があるので「そのコミュニティらしい色」を出す事も新規のお客さんを呼ぶには
必要かもしれませんねぇ

ikepyonikepyon 2006/11/27 12:02 なるほど、ゴミは持ち帰るようにすれば良いわけですね<飲食
コミュニティの裾野を広げるには?というのが命題なので、よその心配というより、SKUFの心配ですね>まーさん
勉強会に積極的に出てくる人というのは、問題意識を持っている人だと思うんですが、出てこない人にこそ知って欲しいこととか、考えて欲しいことを勉強会で伝えたいなぁというのがあったりするんです。
だから、裾野を広げるための努力をいろいろしていきたいですね。
その為には、内輪だけで盛り上がるんじゃなくて、参加者全員で盛り上がるというのを心がけたいです。

トラックバック - http://d.hatena.ne.jp/ikepyon/20061125

2006-11-24 やわらか戦車を応援します

http://anime.livedoor.com/yawaraka/

なんかツボに嵌ってしまった。

たいきゃくぅ〜

[]検査ツールの設計・仕様の公開wiki 検査ツールの設計・仕様の公開wikiを含むブックマーク 検査ツールの設計・仕様の公開wikiのブックマークコメント

http://www21.atwiki.jp/ikepyon/

あくまで、個人的メモなんですが・・・

例のツールは数年前から考えていて、作っては、やり直してを繰り返してるもんで、いつになるか分かりません・・・^^;

実のところ、設定ファイル読込みの部分は出来てたりするんですが・・・

とはいえ、公開してるのは自分ひとりじゃ、欲しい機能が限られてくるかなぁと思ってだったり。

ま、いいアイデアがあればどしどし追加してほしいなっと。

トラックバック - http://d.hatena.ne.jp/ikepyon/20061124

2006-11-22 でろでろ

ぐったり〜

[]OWASP Insecure Web App Project OWASP Insecure Web App Projectを含むブックマーク OWASP Insecure Web App Projectのブックマークコメント

http://www.owasp.org/index.php/Category:OWASP_Insecure_Web_App_Project

危険なWebアプリデモを作るプロジェクトっぽい。

でも、WebGoatとかなりかぶってるというか、同じもの?

英語が出来ないから今一分からない・・・orz

[]フリーWikiサイト フリーのWikiサイトを含むブックマーク フリーのWikiサイトのブックマークコメント

いいところないかなぁ?

いい加減作成中のものを頭の中で仕様考えて、設計してでは辛くなってきたので、どこでも書きなぐりができるところがあればいいなぁと思ってるんだけど・・・

ドキュメントとして残せるところは残したいし、みたいな。

livedoorはちと重過ぎるしなぁ・・・

SourceForgeで書きかけてるけど、すごく効率悪いし・・・

[]これからのプログラムの作り方 - 文字エンコーディング検証は必須 これからのプログラムの作り方 - 文字エンコーディング検証は必須を含むブックマーク これからのプログラムの作り方 - 文字エンコーディング検証は必須のブックマークコメント

http://blog.ohgaki.net/index.php/yohgaki/2006/06/12/a_a_a_a_a_ra_ca_a_oa_pa_fa_ma_sa_sa_raf

文字コードがらみではいろいろ厄介な問題があるから当然だなぁ。

特にWebアプリ側とRDB側で、文字コードを統一しておかないと危険そうな気がする。

検証が必要だけど・・・

yamagata21yamagata21 2006/11/22 19:04 openmya Wiki。(冗談w

ikepyonikepyon 2006/11/22 19:08 個人的な内容だから書けませんてw<openmya Wiki

田中.ROM田中.ROM 2006/11/22 20:56 アットウィキとかどうでしょう?
@wiki
http://atwiki.jp/

ikepyonikepyon 2006/11/22 22:37 ありがとうございます<田中.ROMさん
とりあえずatwikiでやってみます。
http://www21.atwiki.jp/ikepyon/

トラックバック - http://d.hatena.ne.jp/ikepyon/20061122

2006-11-21 風邪っぽい

けほけほ、くらっ

[]Wapiti (from id:ripjyr さんとこ) Wapiti (from id:ripjyr さんとこ)を含むブックマーク Wapiti (from id:ripjyr さんとこ)のブックマークコメント

http://wapiti.sourceforge.net/

Web Application Scannerらしい。

試してみる。

python wapiti.py URL [option]で起動すると勝手に巡回してくれるらしい。

ソースコードを見る限り、変なデータを投げて、レスポンスコード500があると脆弱性の疑い有りとしてるっぽい。SQLインジェクションなんかもろ、エラーメッセージで判断してるよ・・・

しかも、テストロジック部分モジュール化されてないので、テストパターンを増やすのは難しそうだし・・・

実行結果はこんな感じ。

C:\>wapiti.py http://localhost:8080/webapplicationdemo/

lswww will be far less effective without tidy

please install libtidy ( http://tidy.sourceforge.net/ ),

ctypes ( http://starship.python.net/crew/theller/ctypes/ )

and uTidylib ( http://utidylib.berlios.de/ )

Wapiti-1.1.5 (wapiti.sourceforge.net)

...

Attacking urls (GET)...

-----------------------

XSS (msg) in http://localhost:8080/webapplicationdemo/index.jsp

Evil url: http://localhost:8080/webapplicationdemo/index.jsp?msg=<script

>var+wapiti_687474703a2f2f6c6f63616c686f73743a383038302f7765626170706c6963617469

6f6e64656d6f2f696e6465782e6a7370_6d7367=new+Boolean();</script>

Attacking forms (POST)...

-------------------------

500 HTTP Error code in http://localhost:8080/webapplicationdemo/login.jsp

with params = password=on&userid=%BF%27%22%28

coming from http://localhost:8080/webapplicationdemo/

Looking for permanent XSS

-------------------------

C:\>

でもって、パラメータを与えた場合

C:\>wapiti.py" "http://localhost:8080/webapplicationdemo/login.jsp?userid=12345678&p

assword=password'"

lswww will be far less effective without tidy

please install libtidy ( http://tidy.sourceforge.net/ ),

ctypes ( http://starship.python.net/crew/theller/ctypes/ )

and uTidylib ( http://utidylib.berlios.de/ )

Wapiti-1.1.5 (wapiti.sourceforge.net)

.

Attacking urls (GET)...

-----------------------

500 HTTP Error code with

Evil url: http://localhost:8080/webapplicationdemo/login.jsp?password=pa

ssword%27%2F&userid=%BF%27%22%28

Attacking forms (POST)...

-------------------------

Looking for permanent XSS

-------------------------

C:\>

ぬー、今ひとつだなぁ。

一応テストしたサイトSQLインジェクションがあるんだけど、検出されてないし・・・

トラックバック - http://d.hatena.ne.jp/ikepyon/20061121

2006-11-20 だるだる

しっかり寝たはずなのに、だめですわ

[]文字とXSSの関係 (from某MLより) 文字とXSSの関係 (from某MLより)を含むブックマーク 文字とXSSの関係 (from某MLより)のブックマークコメント

http://www15.plala.or.jp/tera5/pdf/security/char_xss1.pdf

後でしっかり読む。

トラックバック - http://d.hatena.ne.jp/ikepyon/20061120

2006-11-17 さむひ

[]Web Application Security Professionals Survey Results (from id:ripjyr さんとこ) Web Application Security Professionals Survey Results (from id:ripjyr さんとこ)を含むブックマーク Web Application Security Professionals Survey Results (from id:ripjyr さんとこ)のブックマークコメント

http://jeremiahgrossman.blogspot.com/2006/11/web-application-security-professionals.html

ぬー、商用検査ツールって結構使われてないのね。

CAL9000なんてものがあるのか。

http://www.owasp.org/index.php/Category:OWASP_CAL9000_Project

って、OWASPだったとは・・・

ざっくりしか見てないけど、検査ツールというより、検査補助ツールって感じ。エンコードとか、検査パターンとか色々あって参考にはなる。

トラックバック - http://d.hatena.ne.jp/ikepyon/20061117

2006-11-13 いつもどおりねむねむ

[]危険なコード 危険なコードを含むブックマーク 危険なコードのブックマークコメント

http://www.php.gr.jp/seminar/20060819/security.pdf

PHP Conference 2006の資料らしい。ま、至極当たり前なんですが、できてないからなぁorz

トラックバック - http://d.hatena.ne.jp/ikepyon/20061113

2006-11-10 漬かれてます

寝坊して駅までマラソンしたら漬かれた。

[]OWASP Projectもろもろ OWASP Projectもろもろを含むブックマーク OWASP Projectもろもろのブックマークコメント

OWASP Encoding Project

http://www.owasp.org/index.php/Category:OWASP_Encoding_Project

ざっと見たところ、XSSを起こさせないためのライブラリを作るプロジェクトっぽい。

Java.NET v1/v2、PHPPythonPerlJavaScript に対応してるらしい。

OWASP WSFuzzer Project

http://www.owasp.org/index.php/Category:OWASP_WSFuzzer_Project

SOAPなどのWebサービスに対する検査ツールっぽい。

[]はてなが調子悪い気が はてなが調子悪い気がを含むブックマーク はてなが調子悪い気がのブックマークコメント

なんとなくアンテナ更新頻度とか落ちてたり、メンテ中がしょっちゅう出たりしてる気がするのは気のせいかなぁ?

トラックバック - http://d.hatena.ne.jp/ikepyon/20061110

2006-11-09 のどイタイ

[]「暗号化」と「暗号保護する」を使い分ける(from 砂糖の甘い付箋さんとこ) 「暗号化」と「暗号で保護する」を使い分ける(from 砂糖の甘い付箋さんとこ)を含むブックマーク 「暗号化」と「暗号で保護する」を使い分ける(from 砂糖の甘い付箋さんとこ)のブックマークコメント

http://yoshihiro.cocolog-nifty.com/postit/2006/09/post_e9f0.html#more

言葉一つでかなり理解が変わるので、非常に興味深い。

暗号化」と「暗号保護する」というのは確かに前者は「情報を『暗号』にして分からなくする」という感じがするし、後者は「情報を『保護』するために暗号を使う」という感じがする。

目的と手段が違う気がするので、管理策などで記述するのは「暗号保護する」という方が目的(=保護)が明確になっていいような気がする。何かうまく言い表せないけど・・・

トラックバック - http://d.hatena.ne.jp/ikepyon/20061109

2006-11-08 ねむねむ

[]Twelve rules for developing more secure Java code Twelve rules for developing more secure Java codeを含むブックマーク Twelve rules for developing more secure Java codeのブックマークコメント

http://www.javaworld.com/javaworld/jw-12-1998/jw-12-securityrules_p.html

仕事関連で調べ物。

とはいえ、少なくともWebアプリでは外部からのクラスを追加とかムリッポソウだし・・・

Appletなら十分意味のある対策かも知れんけど・・・

ま、JAVAのこと知らないので感想が間違ってる可能性は高いけど・・・

[]セキュリティ要件 セキュリティ要件を含むブックマーク セキュリティ要件のブックマークコメント

いくら開発者サイドでXSS対策をどうたら、SQL Injectionをどうたらと言っていても、依頼サイドが要件としてあげていなければ、無駄コストだったり、不要な機能だったりするわけで、開発者モチベーションなんてあがりゃしないし・・・

ということで、セキュリティ要件が必要なんだが、セキュリティ要件ってどうやって決めればいいんだろう?

思いっきり手を抜くのであれば、「適切なセキュリティ対策を施すこと」みたいなのでもOKなのか?

じゃ、「適切なセキュリティ対策」って何よってことにつながるんだよなぁ。でもって、「適切なセキュリティ対策」というものがあいまいなために、受け入れ側も、それで十分かどうかというのが疑問だったりするわけだ。要件定義たるもの、「何」を「どうする」のかをきちんと示さなきゃいけないと思うわけで。

となると、最も手っ取り早いのはリスク分析を行って、そこからセキュリティ要件を出すことだと思うんだけど、リスク分析という手法自体かなり難しいところがあるからなぁ。これを毎回開発案件毎にやるのは手間だし、顧客サイドには難しいかもしれない。

リスク分析のパターンを作って各案件毎にそれを適用するしないを判断するというのが出来れば、簡単に行えるかもしれないなぁ。その上でセキュリティ要件をデザインパターンみたいにパターン化してしまうともっと簡単になるかなぁ?

で、その幾つかは第1回のSKUFでも資料として乗っけてみた。

http://skuf.s-lines.net/presen/20050903/skuf-meeting-0903-ikepyon.lzh

何とか網羅的にセキュリティ要件をパターン化してみんなで使えるようにしたいなぁ。

誰か作ってくれないかな、と他力本願になってみるw

一応こういうのもある

http://www.jnsa.org/active/2005/active2005_1_4a.html (from yamagataさん)

http://www.ipa.go.jp/security/ccj/archive/cc_cem/CCpart2_v13-j.pdf

http://www.ipa.go.jp/security/jisec/documents/jisec_system_st_v1.1.pdf

しかしなぁ、JNSAの奴はどうも開発サイドからの視点っぽいので、これが必要かどうかの判断が今一分かりづらいかも・・・

CCとかSTはあまりにむずすぎるのでちょっとした開発案件では適用するのは難しいし・・・

イメージ的には機能毎に脅威が記述してあって、それに対する対策が書かれているマトリックス表みたい

なのがあれば簡単かなぁと思ったりするんだけどなぁ。

[]「脆弱性を解説するウェブコンテンツ制作および部品素材制作」に係る公募について 「脆弱性を解説するウェブコンテンツ制作および部品素材制作」に係る公募についてを含むブックマーク 「脆弱性を解説するウェブコンテンツ制作および部品素材制作」に係る公募についてのブックマークコメント

http://www.ipa.go.jp/security/kobo/18fy/vulcontents/index.html

おお、「絵で見るWebアプリケーションセキュリティ」が出来るのかな?

ちょっと期待。

[]ネタ ネタを含むブックマーク ネタのブックマークコメント

ふと思ったんだけどISPに検疫システムを入れてもらうって言うのはどうだろう?

ユーザにはアクセスキットと称して検疫システムクライアントを入れてもらうの。

そうすれば少しはクライアントセキュリティも高くなるかなぁ?なんて思ったり。

でもコストがなぁ。

[]ありえない対策 ありえない対策を含むブックマーク ありえない対策のブックマークコメント

まっちゃさんとこでJavascriptを使ってXSSの対策をとったところがあるというのを見たけど、どうも開発者HTTPとかJavascriptとかの仕組みを理解していないっぽい。

HTTPJavascriptの仕組みを理解していればこのような対策はとらないと思うんだけど・・・

XSSが発生する原因の根本は、Webアプリケーション側で制御できないブラウザで問題が発生するためだけど、それがわかってないっぽい。

XSSだけでなく、SQLインジェクションも、コマンドインジェクション、LDAPインジェクション、などなどインジェクションという名前の付くものは多分全て、Webアプリケーションプログラムが制御できない自分以外のアプリケーションで、プログラマの意図しない動作をしてしまうことが原因だ。

制御できないというのはWebアプリケーション側から受け取った命令が正しいかどうか受け取った側からは分からないということだ。その為、受け取った側はそれが全て正しい命令として解釈しようとするので、こういった問題が発生する。

だから、プログラムと外部プログラムの境界部分(この場合だとHTMLを返す部分)で、外部プログラムが意図しない動きをしないかどうかをチェックする必要がある。

入力でチェックすりゃええやんという意見もあるだろうけど、処理した結果、どの様になるか分かりづらいことがあったりするので可能なら出力直前にチェックする方が望ましい。

最も、出力直前だけでいいかというと、例えばバッファオーバーフローのように、入力直後にチェックしたほうがいいものもある。これはXSSや、SQLインジェクションなどと異なり、受け取ったプログラム自体が誤動作するものがあるからだ。

とはいえ、これら一部の例外についてももっと小さな単位(関数やらメソッドやら)で見た場合、同じことが言える。そのスコープが大きいか小さいかの違いだけで、考え方は同じなんだけどね。

バッファオーバーフローのように呼び出す関数若しくはメソッドの引数として使う直前にチェックする方が安全といえるんだけど、毎度毎度同じチェックをその関数とかを呼び出す直前にチェックするのは手間なので、受け取った関数、メソッドの側で問題が無いかチェックしたほうがよい。

だから、場合場合によって入力と出力のどちらでやるか検討がしたほうが良いと思うんだな。

yamagata21yamagata21 2006/11/08 13:22 「JNSA セキュアシステム開発ガイドライン」なんてありましたね。
http://www.jnsa.org/active/2005/active2005_1_4a.html

ikepyonikepyon 2006/11/08 13:36 確かにありましたねぇ。
でもなんとなくこれって開発者サイドからの要件の気がして、発注者側がこれとこれとこれやってねというのは難しいかなぁと思ったしだいで・・・

トラックバック - http://d.hatena.ne.jp/ikepyon/20061108

2006-11-07 だるだる

ぐったりしてます

[]政府機関統一基準適用個別マニュアル群 政府機関統一基準適用個別マニュアル群を含むブックマーク 政府機関統一基準適用個別マニュアル群のブックマークコメント

http://www.nisc.go.jp/active/general/kijun_man.html

こげなもんが公開されてたんか。オラ、シラナカッタッペ。

ここにある「ソフトウェア開発における情報セキュリティ対策実施規程」なんか結構よさげ。

http://www.nisc.go.jp/active/general/pdf/dm6-03-051_sample.pdf

でも、問題は発注する側も受ける側もセキュリティ要件をきちんと書けないんだよねぇ、多分。

セキュリティ要件で必要なことは何か、明確にしておく必要があるのかなと。

トラックバック - http://d.hatena.ne.jp/ikepyon/20061107

2006-11-06 ぐぅ

3日間とも出ずっぱりで疲れたorz

[]サイバー空間で「空中戦」・米、中国にらみ司令部創設 (from まるちゃんの情報セキュリティ気まぐれ日記さんとこ) サイバー空間で「空中戦」・米、中国にらみ司令部創設 (from まるちゃんの情報セキュリティ気まぐれ日記さんとこ)を含むブックマーク サイバー空間で「空中戦」・米、中国にらみ司令部創設 (from まるちゃんの情報セキュリティ気まぐれ日記さんとこ)のブックマークコメント

http://it.nikkei.co.jp/security/news/index.aspx?n=NN000Y532%2003112006

一瞬見たとき、読んでないけど「エンダーのゲーム」(ASIN:4150107467)を思いついちゃったw

どちらかというとこっち(ASIN:406313248X)か?

[](倫理的)ハッキングが解決法 (倫理的)ハッキングが解決法を含むブックマーク (倫理的)ハッキングが解決法のブックマークコメント

http://zone-h.jp/content/view/106/9/

うーむ、どうなんでしょ?

トラックバック - http://d.hatena.ne.jp/ikepyon/20061106

2006-11-02 ちとくらくら

この数ヶ月ず〜っとくらくらしてる気が・・・orz

[]SQL Injection SQL Injectionを含むブックマーク SQL Injectionのブックマークコメント

http://www.atmarkit.co.jp/fsecurity/column/ueno/42.html

この資料では「'」を「\'」にとなってるけど、「'」を「''」の方が正しかったはず。

と思ってぐぐって見たけどいい一次資料が見つからなかったorz

(直ったみたいw)

後、「"」を「""」にってのもいらないかなぁ?と思ったけど・・・これも情報源が・・・

SQL99の規格書の本は色々引っかかるんだが、そのものとなると・・・

その辺のこと自分が書いた文書でしっかり、かいてたやん。えらいぞ>自分w

http://www.geocities.jp/ikepy0n/SQLInjectin.html

で、思い出したが、2バイトコードネタをまとめようと思ってまとめてないや・・・

とまぁ、それはさておき、MySQLJDBCの組み合わせって、こんなことできないのかなぁ?

select * from hoge where hoe='a' or 1=1;-- ';

select * from hoge where hoe='a' or 1=1;# ';

select * from hoge where hoe=1; select 1,'hoe';

なんかSyntaxエラーになるんだよねぇ。

MySQLコマンドプロンプトからなら可能なんだけど・・・

聞くところによるとJDBCのチェックに引っかかってるため、出来ないらしい。ぬー抜け道考えないとうまく使えないなぁ。

[]JAVAScript JAVAScriptを含むブックマーク JAVAScriptのブックマークコメント

http://d.hatena.ne.jp/kacchan6/20061101

ぐはっ、こんなのあるデスか?確かに仕様変更も楽かもしれませんが、セキュリティ的ニ問題アリアリデス(この記述は・・・)。どうやら、サーバサイドで動くJAVAScriptエンジンRhinoっぽい。よかったよかった。

デモオネガイスカラぶらうざデSQLJAVAScriptヲツカッテクミタテルノハカンベンシテクダサイ。

ホントかウソか確認せんといけないですな。

E4X自体はそんなSQLを解釈する機能はないので一安心だけど、SQLブラウザJAVAScriptで作成するのはかんべんな。

http://www.ne.jp/asahi/nanto/moon/specs/ecma-357.html参考)

[]俺2.0? 俺2.0?を含むブックマーク 俺2.0?のブックマークコメント

http://route.alpslab.jp/

そばのときのネタw

リアルタイムで反映するアプリ誰か作ってくれないかなぁw

[]IE7 IE7を含むブックマーク IE7のブックマークコメント

どうもIE7Proxyを使用する設定にしてても、localhostへのアクセスでは、Proxyを使用しない仕様になったっぽい。

おかげで某製品ではまりましたよorz

[]エスケープネタ エスケープネタを含むブックマーク エスケープネタのブックマークコメント

元々、「'」や「"」を「\'」や「\"]に変換して回避するのって、CとかPerlPHPJAVAで「'」や「"」で文字や文字列の区切りとしてることからきてると思うんですよ。そんなわけで安易に「\'」や「\"]を使ってサニタイズ〜♪とか言っているのは間違いなわけで。

それぞれの処理系にあった方法を使わないといけないというのが、基本だと思う。SQLでは、「'」や「"」をそれぞれ、「''」、「""」にするとかね。

ちなみに一律こんな変換していると、2バイトコードではうまくいかないことがあるので注意が必要そう。2バイトコードの場合、意図せず文字列がぶった切られるとか、要らない文字が出てくるとかにもなりそうなので・・・。この点について検証&調査が必要だけどね。

kacchan6kacchan6 2006/11/02 20:38 コメントどうもです〜。
サーバサイド+SQLのヘルパーが存在すると仮定した時のコードです。
SQLのヘルパーでは内部でバインド変数を使うと仮定しています。
サニタイズはJDBCドライバ依存になりますね。

ikepyonikepyon 2006/11/06 18:10 なるほど、あまり物を知らないもんで^^;勉強になります。
バインドメカニズムもタコな実装だと色々問題が起こるのであまり過信しすぎるのも、ダメですけどね。

トラックバック - http://d.hatena.ne.jp/ikepyon/20061102

2006-11-01 げほげほげほ

咳が止まらなかったりするなぁ。

[]IT部門の悩みを読み解くと「セキュリティ市場とシステム管理市場は統合される」 IT部門の悩みを読み解くと「セキュリティ市場とシステム管理市場は統合される」を含むブックマーク IT部門の悩みを読み解くと「セキュリティ市場とシステム管理市場は統合される」のブックマークコメント

http://japan.zdnet.com/news/software/story/0,2000056195,20295647,00.htm

セキュリティ技術的な問題の大部分はシステム管理だからあたりまえっちゃぁあたりまえ。

今のセキュリティ技術者の多くはネットワークやら、システム管理から変わってきた人多いだろうし。

だから、アプリセキュリティ対策がおざなりになってるのかなぁ?

[] 意図不明のマルウェアが出現  意図不明のマルウェアが出現を含むブックマーク  意図不明のマルウェアが出現のブックマークコメント

http://www.computerworld.jp/topics/usm/51949.html

まさにボットでしょ。さすがに感染するだけして、何もしないのは怖いなぁ

[]みずほ証券東証を提訴、誤発注の損害415億円を賠償請求 みずほ証券が東証を提訴、誤発注の損害415億円を賠償請求を含むブックマーク みずほ証券が東証を提訴、誤発注の損害415億円を賠償請求のブックマークコメント

http://itpro.nikkeibp.co.jp/article/NEWS/20061027/252011/?ST=tousei

逆ギレか?自分とこの変な運用を棚に上げて損害賠償を請求するなんて・・・

[]第4回のSKUF Meeting受付メール送信しています。 第4回のSKUF Meeting受付メール送信しています。を含むブックマーク 第4回のSKUF Meeting受付メール送信しています。のブックマークコメント

どうやら、申し込みメールが届いていないことがあったので、ここに連絡をば。

受付メール送信しているので、届いてないよ〜という人はメールください。すみません。

comikencomiken 2006/11/01 15:21 まぁ、みずほもすごすご引き下がるわけにはいかないんでしょうね。

IkegamiIkegami 2006/11/01 15:25 株主代表訴訟対策では?

まーまー 2006/11/01 22:04 告知には公式Blogを使ってください。。。

トラックバック - http://d.hatena.ne.jp/ikepyon/20061101

1900 | 01 | 06 |
2003 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 02 | 03 | 04 |
2011 | 01 | 02 |