ikepyonのお気楽な日々〜技術ネタ風味〜 このページをアンテナに追加 RSSフィード

気になった日々のニュースとメモのためのリンクと戯言のページ

To Do(というかやりたいこと。何時終わることやら)
-ITIL導入のための成熟度チェックシートみたいなの(あると便利だよね?)
-Hacknotes Web Security Portable Reference和訳(出版社募集中)
-Webアプリケーションセキュリティ検査ツールの改良(一応完成)
-Hacker HighSchoolの資料の日本語訳
-OSSTMMの日本語訳
-「燃えるセキュアプログラミング」若しくは「サルでも分かるセキュアプログラミング」とか書いてみたいなぁみたいな。

これだけはチェックしときなはれ!!受入れテスト用セキュリティチェックリスト公開中
Webアプリケーションセキュリティはてなぐるーぷ(テスト中やで)
SQL Injectionの仕組みと対策公開中
RSS feed meter for http://d.hatena.ne.jp/ikepyon/
Secure Coding に入ろう!! [MLの詳細]
メールアドレス
SKUF Meeting なかのひと

2007-01-31 コード書いてたら遅くなったorz

[]あなたも記事を書いてみませんか あなたも記事を書いてみませんかを含むブックマーク あなたも記事を書いてみませんかのブックマークコメント

http://itpro.nikkeibp.co.jp/article/Watcher/20070129/259927/

う〜むなるほど、もうちょっとがんばってみるかなぁ?(謎

[]コードジェネレータ コードジェネレータを含むブックマーク コードジェネレータのブックマークコメント

某所のところのために、幾つか調査中。

php系のコードジェネレータは2つしか調べてないけど、どれも、ダメっぽいorz

コードジェネレータなんだから、SQL Injection対策ぐらいはしておいて欲しいなぁ。そんなに難しいもんじゃないんだし・・・

その点、Java系は優秀かも。

時間がないから、多くは調べられないけど、暇が出来たら、ちょっと調べてみるか。

なるほど、調べてるJava系のジェネレータはHibernate使ってるから、バインメカニズムのおかげで、SQL Injection耐性があるわけか。Hibernateは設定ファイルで型まで指定するから、型チェックしてくれるみたいだし。

下手にゴリゴリSQL文書かれるより、こっちのほうが安全だなぁ。

DB正規化しまくって、ゴニョゴニョする場合は、viewとか使えばHibernate使えるわけだし。その場合、更新系は辛いかも知れんけどなぁ。

http://www.hibernate.org/hib_docs/reference/ja/html/index.html

ya_taya_ta 2007/01/31 11:04 ネタはたくさんあれど、「書く気力」が無くて困ってます(何
#それは話すネタも同じで、、、

ikepyonikepyon 2007/02/01 13:27 締め切りを決めてしまえば、気力なんて何とかなる文ですw
ということで、是非講師をw

vulcainvulcain 2007/02/01 23:56 HibernateなどのO/Rマッピングツールは良いんですが、コンポーネントと言うかAPサーバとRDBMSとの間の階層が増えるので、障害時にSEが根を上げる・・・
#インシデントは“ソコ”で起こっているのに・・・w

ikepyonikepyon 2007/02/02 18:27 ま、そこはブラックボックスにして、障害時に苦しむかw、それとも、泥臭いことをして、手間を取るかのトレードオフですね。
泥臭いことして、穴作るよりは、そんなに発生しないであろう障害時に苦しんだ方が楽かも、という気がしますが・・・

トラックバック - http://d.hatena.ne.jp/ikepyon/20070131

2007-01-30 咳が出る

[] を含むブックマーク のブックマークコメント

最近ウィルスや、ワームにはVM上では症状が発現しないものもあるらしい。これを逆手にとって、ホストOSでもVM上と同じ挙動をして、感染しても症状が発現しないドライバとかパッチとかあったら面白いかもw

いや、あくまでネタですが。

[] を含むブックマーク のブックマークコメント

http://itpro.nikkeibp.co.jp/article/Watcher/20070126/259774/

(3)図や絵を書く時は必ず,キーとなる「何を言いたいのか」という文章を書かせた。

これって良くわかるなぁ。この間のSIの資料なんか全然分からんかったし・・・

後から見直すor知らない人にも見てもらうには文章が必要だよなぁ

トラックバック - http://d.hatena.ne.jp/ikepyon/20070130

2007-01-29 やっとなおった!!

下痢がやっと直ったっぽい!!水曜日からだからすげ〜かかったなぁ

[]Exploiting JSON Framework : 7 Attack Shots Exploiting JSON Framework : 7 Attack Shotsを含むブックマーク Exploiting JSON Framework : 7 Attack Shotsのブックマークコメント

http://www.zeroknock.metaeye.org/mlabs/expjson.html

JSONを使った攻撃方法の解説っぽい。

後で読む。

[]コードジェネレータ コードジェネレータを含むブックマーク コードジェネレータのブックマークコメント

ちと、某所で必要になったので調べ物。どこで使うかは後でのお楽しみということでw

OpenXava

http://www.gestion400.com/openxava/portal/

JAG

http://jag.sourceforge.net/

appfuse

https://appfuse.dev.java.net/

middlegen

http://boss.bekk.no/boss/middlegen/

WebLang

http://ltiwww.epfl.ch/WebLang/

phpCodeGenie

http://sourceforge.net/projects/phpcodegenie/

phpgen

http://www.a-sync.co.jp/20050811/phpgen.html

Ruby on Rails

http://www.rubyonrails.org/

これらのコード読んで調べないと・・・

トラックバック - http://d.hatena.ne.jp/ikepyon/20070129

2007-01-23 ねむすぎ

[]JSONを使ってAJAXベースアプリケーションを高速化する JSONを使ってAJAXベースのアプリケーションを高速化するを含むブックマーク JSONを使ってAJAXベースのアプリケーションを高速化するのブックマークコメント

http://japan.internet.com/developer/20070123/27.html

var obj = eval(

{"person" :

{

"firstName" : "John",

"lastName" : "Brown",

"age" : 30,

"sex" : "M"

}

}

);

//個人の名をポップアップ表示する

alert(obj.person.firstName);

なるほど、eval関数を使うことって結構ありそうだなぁ。

となると、サーバ側に問題はなくても、AJAXによってXSSが発生する場合もあるわけだ。さて、そういった場合、どういう風に防げばいいかなぁ?

トラックバック - http://d.hatena.ne.jp/ikepyon/20070123

2007-01-19 眠い

[]Web Application Security Scanner for Java Web Application Security Scanner for Javaを含むブックマーク Web Application Security Scanner for Javaのブックマークコメント

https://www.owasp.org/index.php/Category:OWASP_LAPSE_Project

ソースコード監査用のツールらしい。

一応以下のことがチェックできるみたい。

* Parameter manipulation * SQL injections

* Header manipulation * Cross-site scripting

* Cookie poisoning * HTTP splitting

* Command-line parameters * Path traversal

ちょっと試してみよう。

しかし、OWASP Code Review Guideすごい活発なんだけど、みんなこういうの欲しかったんだなぁ。

トラックバック - http://d.hatena.ne.jp/ikepyon/20070119

2007-01-18 age++

ya_taya_ta 2007/01/18 10:49 おめー。今日はエソカイですか?w

ikepyonikepyon 2007/01/18 13:42 あり〜。一人寂しく過ごす会会長ですから、一人寂しく過ごしますw

dacsdacs 2007/01/18 21:40 おめでとうございます。誕生日自分と近いですね。自分は新年会をその日にぶつけられて、本人が寸前まで気付かず結局新年会行って自爆してました。

トラックバック - http://d.hatena.ne.jp/ikepyon/20070118

2007-01-17 ぐ〜

[]続・パスワードの話 続・パスワードの話を含むブックマーク 続・パスワードの話のブックマークコメント

http://blog.nikkeibp.co.jp/pconline/security/2007/01/sonoda010.html

難しいパスワードを自分しか見れない場所(自分の手帳とか、携帯とか)に書いてしまうというのは、有りだと思う。但し、パスワードを書いた紙をディスプレイに貼り付けておくとか、机の上に放り出しておくとかするのが問題であって、それをしっかり管理していれば、パスワードメモしていても問題なし。それより、覚えやすい(≒辞書に載っているor単純な)パスワードを使っている方が問題。いくら、紙に書いてなくても、辞書に載っているような単語や、誰かの誕生日を使っていると意味がない。

ちなみに、連続して何回か失敗するとアカウントロックアウトするようなシステムであっても、パスワードを固定し、ユーザIDを変えてブルーフォースかければ、アカウントロックアウトしない。これを使えば、誰でもいいから、簡単なパスワードを使っている人を見つけることが出来る。

例えば、オンラインバンキングで、口座番号と暗証番号でしか認証を行ってないところは、暗証番号が4桁なので、1万件程度口座番号をまわしてしまえば誰かのアカウント不正利用できると思われ。

攻撃者はたいてい、特定の誰かを狙うのではなく、非常に弱い誰かを狙う。

そこから、もっと重要情報を得たり、致命的なダメージを与えるのだから、その突破口となるパスワードを簡単なものにしているというのは非常に危険。

簡単なパスワードをつけるぐらいならば、難解なパスワードを自分以外の誰も見れないところに、どこのパスワードか分からないように書いておくというのは対策としてありだと思う。

トラックバック - http://d.hatena.ne.jp/ikepyon/20070117

2007-01-16 だるっ

[]ISMSの形骸化 ISMSの形骸化を含むブックマーク ISMSの形骸化のブックマークコメント

http://maruyama-mitsuhiko.cocolog-nifty.com/security/2005/01/isms.html

全くその通りだと思う。結構ISMSの認証取得が目的とかしてるところ多いよねぇorz

セキュリティ対策の運用がしっかり出来ていることを客観的に確認するための道具のはずで、ISMS認証取得は絶対に目的ではないと思うのだけど。目的セキュリティレベルを向上させることなんだし。

不二家も認証取得が目的だったみたいorz

http://maruyama-mitsuhiko.cocolog-nifty.com/security/2007/01/_iso_fed7.html

[]第1回 CVEでみるPHPアプリケーションセキュリティ(from id:hasegawayosukeさんとこ) 第1回 CVEでみるPHPアプリケーションセキュリティ(from id:hasegawayosukeさんとこ)を含むブックマーク 第1回 CVEでみるPHPアプリケーションセキュリティ(from id:hasegawayosukeさんとこ)のブックマークコメント

http://gihyo.jp/serial/2007/php-security/0001

興味深い。PHPって簡単に書けるのはいいんだけど、結構仕様に罠があるしなぁ。ま、設定をしっかりしとけばいいんだけど、そこら辺を忘れてると色々とねぇ。

だからといって、JSPASPがいいかというとそういうわけでもなくて、それぞれ一長一短があるので、どちらともいえない。

攻撃するがわって、開発者があまり意識していない仕様の穴をついてくるものなので、使う環境や、開発するシステムの細かい仕様を理解しておく必要があると思うのですよ。

トラックバック - http://d.hatena.ne.jp/ikepyon/20070116

2007-01-15 だるい

[]Microsoft SQL Server Runs the Security Table Microsoft SQL Server Runs the Security Tableを含むブックマーク Microsoft SQL Server Runs the Security Tableのブックマークコメント

http://www.microsoft.com/presspass/itanalyst/docs/ESGNov2006SQLServerSecurity.pdf

SQL Serverが安全だという文書。

ま、MSにあるから割り引くにしても、確かに最近あまり見かけないかも。

トラックバック - http://d.hatena.ne.jp/ikepyon/20070115

2007-01-12 腰痛い

[]OWASP Testing Guide v2 OWASP Testing Guide v2を含むブックマーク OWASP Testing Guide v2のブックマークコメント

http://www.owasp.org/index.php/OWASP_Testing_Guide_v2_Table_of_Contents

前にも書いたかもしれないけど、これが最終段階に入ったみたい。

ざっとしか見てないけど、攻撃手法について細かく書かれているみたい。

[]OWASP Code Review Guide OWASP Code Review Guideを含むブックマーク OWASP Code Review Guideのブックマークコメント

http://www.owasp.org/index.php/OWASP_Code_Review_Guide_Table_of_Contents

こちらはまだまだ見たいだけど、ソースコードレビューガイドライン

結構良いかも

[]AJAX security AJAX securityを含むブックマーク AJAX securityのブックマークコメント

http://www.spidynamics.com/assets/documents/AJAXdangers.pdf

後で読む

これはともかく、といろいろ考えてみると、eval関数引数としてサーバからのレスポンスを使っているとまずいことが起こるのね。アプリによっては受け取ったデータをもとに、動的にコードを変えるとかありそうな気が・・・

サーバ側にJavascriptコードのみを記録できなければ問題ないけど、それが出来てしまうと・・・

まあ、攻撃はかなり限定されるんだけど、危険なことは確かだし・・・

これよりは、Imageオブジェクトソースコードを仕込まれる方が可能性があるからなぁ。

AJAXを使うときに気をつけなきゃいけないコード例とかあるとうれしいかも。

2007-01-11 眠すぎ

[]文章解析 文章解析を含むブックマーク 文章解析のブックマークコメント

Webアプリ検査ツール作るときに、レスポンスが同じかどうかをチェックする必要があるんだけど、どうすればいいんだろう?ってまだまだ先の話なんだけど・・・

ふつ〜に考えたら、入力データが異なれば、レスポンスが違うのは当たり前なので、単なる比較では誤検知が発生するのは当たり前なわけで・・・

となると、レスポンスの構造(タグが似たような感じかどうか)でチェックするのがいいのかなぁ。でも、これだと漏れが発生しそうだし・・・

[]何故フリーのツールが必要か? 何故フリーのツールが必要か?を含むブックマーク 何故フリーのツールが必要か?のブックマークコメント

Webアプリ検査ツールのフリー版って幾つかあるけど、基本的にマン・イン・ザ・ミドルができるProxyか毛の生えた程度の自動検査しかしてくれない。これって、お金のないところにとっては結構辛いところだと思うのですよ。

フリーのツールで検査しようとするとかなり、Webアプリの開発と、攻撃の仕組みについての技術が必要だと思うのだけど、お金のないところって、そういうのがなかったりするし・・・

かといって商用ツールは高いので使えない&日曜プログラマが使おうとすることは土台無理。

ってわけで、フリーの優秀な自動検査ツールが必要だと思うんだけど、ないんだよねぇorz

ないものは作るしか無いってんで、作ろうと思い立って早数年orz。何度途中まで作って、最初っ殻作っていることやらw

いい加減作らないといけないなあと思った冬の一日w

hasegawayosukehasegawayosuke 2007/01/11 18:37 同じDOMツリーを持っているかどうかとか…。

ikepyonikepyon 2007/01/11 18:49 あー、それ考えてますw
タグの構造でやれば、うまく判断できるかなぁとか。

トラックバック - http://d.hatena.ne.jp/ikepyon/20070111

2007-01-10 だめすぎorz

[]毎日新聞また騒動…またまたマル秘情報流出 毎日新聞また騒動…またまたマル秘情報流出を含むブックマーク 毎日新聞また騒動…またまたマル秘情報流出のブックマークコメント

http://www.iza.ne.jp/news/newsarticle/event/crime/34326/

何がすごいって、所長さんの「個人情報じゃないけど何かあったみたい。ダウンロードしてなかったのに入ってきて、何か入っちゃったんだよね。」って奴。普通の人の感覚ってこんな感じなんだろうなぁorz

[]タダで使える多機能PBX!?Asteriskとは? タダで使える多機能PBX!?Asteriskとは?を含むブックマーク タダで使える多機能PBX!?Asteriskとは?のブックマークコメント

http://www.keyman.or.jp/3w/prd/95/30002095/

こんなものもあるんだ。OSSって色々あるなぁ。

トラックバック - http://d.hatena.ne.jp/ikepyon/20070110

2007-01-09 ねむすぎ

[]OWASP関連色々 OWASP関連色々を含むブックマーク OWASP関連色々のブックマークコメント

CSRF Guard

https://www.owasp.org/index.php/CSRF_Guard

PDF Attack Filter for Java EE

https://www.owasp.org/index.php/PDF_Attack_Filter_for_Java_EE

例のPDFを使ったXSS対策をするものみたい。ざっと見たところ、URLの最後に「#a」をくっつけてリダイレクトさせるみたい。そうすると、XSSが発生する部分がアンカー(?)になるからか。制限はあるけど、結構いいかもw

この仕組みなら、mod_alias使えば、応用利きそう。

http://httpd.apache.org/docs/2.0/ja/mod/mod_alias.html#RedirectMatch

RedirectMatch (.*)\.pdf$ $1\.pdf\?\&#a

みたいな感じで。

ちと修正。意味のない?&をつけてみたけど、これならどうかな?(ちなみに試してないので、これで解消できるかどうかは疑問。しかも、抜けが多いしw。誰か検証プリーズw)

yamagata21yamagata21 2007/01/09 18:42 「#」以降はサーバ側に送られてこないので、“RedirectMatch (.*)¥.pdf$ $1¥.pdf#a”だとループしてしまいそうな気もw

ikepyonikepyon 2007/01/09 18:49 お、確かに。
も,ちょっと考えないと^^;

yamagata21yamagata21 2007/01/09 18:55 〜.pdf?#aaa=javascript:... にリンクされたりしてw >$1¥.pdf¥?#a

ikepyonikepyon 2007/01/09 19:05 ちと試してみましたが、#以降は送られないみたいです(FirefoxとIE7)
なので多分大丈夫かと^^;

hasegawayosukehasegawayosuke 2007/01/09 19:07 .pdf?#xss=javascript...だと、リダイレクトが働かないのでXSSする罠w

ikepyonikepyon 2007/01/09 19:11 やはりトークン使わないとダメかorz
いやまあ、こういう回避方法があるんだということだけなので、勘弁してくださいw

hasegawayosukehasegawayosuke 2007/01/09 19:17 トークンでどうよ[seasurfers:0421]に対して、まだだめぽというのが[seasurfers:0422]です。
http://www.freeml.com/ctrl/html/MessageForm/seasurfers@freeml.com/422/

ikepyonikepyon 2007/01/09 19:27 元記事のようにIPアドレスでハッシュしたトークン使うというのはどうなんでしょ?
作りこみが発生するので、アレですが・・・

yamagata21yamagata21 2007/01/09 22:47 (encryptionPassword の値さえ忘れずに変えていれば、)攻撃用のリンクが作れないわけなのでOKだと思います。 ただ、ブログなどで PDF にリンクを張るときに、普通に URL からコピーすると ?PDFAttackToken= の部分が漏れちゃうので、そこを忘れずに消さないといけないですね。(消さない人多そうw)

ikepyonikepyon 2007/01/10 10:37 アクセス時間をパラメータに渡して、PDFAttackTokenをIPアドレスとアクセス時間の組み合わせたもののハッシュにすれば結構良いかもしれませんね。で、アクセス時間から一定の時間がたっていたら新たにトークン渡すとか。

トラックバック - http://d.hatena.ne.jp/ikepyon/20070109

2007-01-05 ぐったりorz

[]Ajaxセキュリティ Ajaxとセキュリティを含むブックマーク Ajaxとセキュリティのブックマークコメント

ちと、調べ物

http://itpro.nikkeibp.co.jp/article/COLUMN/20061106/252654/

http://www.eweek.com/article2/0,1895,1998795,00.asp

http://www.eweek.com/article2/0,1895,1978119,00.asp

http://www.blackhat.com/presentations/bh-usa-06/BH-US-06-Hoffman.pdf

http://www.blackhat.com/presentations/bh-jp-06/BH-JP-06-Stamos-Lackey.pdf

うーむ、Webアプリとしては問題ないようにみえるけど、受け取ったXMLを解釈する部分で脆弱性が発生するようなことはできないかなぁ?

なんとなく、受け取ったデータをそのままリンク先として使ってる場合なんか問題になる気がするけど。

トラックバック - http://d.hatena.ne.jp/ikepyon/20070105

2007-01-04 あけましておめでとうございます

[]今年の抱負 今年の抱負を含むブックマーク 今年の抱負のブックマークコメント

今年こそ、例のブツを作り上げようっと。だいたい何年かけとるんやってくらいかかってるしw

仕事の方はまあぼちぼち、やっていくということで・・・

後はコミュニティ関係でいろいろやるということで

トラックバック - http://d.hatena.ne.jp/ikepyon/20070104

1900 | 01 | 06 |
2003 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 02 | 03 | 04 |
2011 | 01 | 02 |