ikepyonのお気楽な日々〜技術ネタ風味〜 このページをアンテナに追加 RSSフィード

気になった日々のニュースとメモのためのリンクと戯言のページ

To Do(というかやりたいこと。何時終わることやら)
-ITIL導入のための成熟度チェックシートみたいなの(あると便利だよね?)
-Hacknotes Web Security Portable Reference和訳(出版社募集中)
-Webアプリケーションセキュリティ検査ツールの改良(一応完成)
-Hacker HighSchoolの資料の日本語訳
-OSSTMMの日本語訳
-「燃えるセキュアプログラミング」若しくは「サルでも分かるセキュアプログラミング」とか書いてみたいなぁみたいな。

これだけはチェックしときなはれ!!受入れテスト用セキュリティチェックリスト公開中
Webアプリケーションセキュリティはてなぐるーぷ(テスト中やで)
SQL Injectionの仕組みと対策公開中
RSS feed meter for http://d.hatena.ne.jp/ikepyon/
Secure Coding に入ろう!! [MLの詳細]
メールアドレス
SKUF Meeting なかのひと

2007-07-30 だるだる

[]Webアプリケーション脆弱性 Webアプリケーションの脆弱性を含むブックマーク Webアプリケーションの脆弱性のブックマークコメント

って、一般の開発者に未だ浸透してないのか?

もしそうなら、XSSがどういったものか、SQLインジェクションが起こる原因とかしっかり説明するような勉強会を開催したり、文章を書いた方がいいのかなぁ?

む〜、XSSの仕組みと対策とか書いてみようかなぁ?

ockeghemockeghem 2007/07/30 20:26 こんにちは。これは本当に問題だと思いますね。(受動攻撃である)XSSはまだしも、SQLインジェクションが放置されているのは、なぜなんですかね。法規制とかしないとなくならないのではないかと思う今日この頃です(-_-)

aTeradaaTerada 2007/07/31 06:23 はじめまして。
脆弱性については結構いろんなサイトで取上げられてるので、かなり浸透しているのかと思いつつ、まったくなのが現状ですね。「SQLインジェクションて何?」って言われたことがあります(…。)
個人的にはXSSとかSQLインジェクションとか。結局は、HTMLとかSQLの基礎(?)を知らないでなんとなく使ってるからとか思うのです。

ikepyonikepyon 2007/07/31 09:48 なるほど、実情そうなんですかねぇorz
開発者が読みそうな場所で一度解説文書いた方がいいのかもしれませんね。
セキュリティのコミュニティと開発者のコミュニティってかぶらないことが多いからこういう状況なのかもしれませんね。

トラックバック - http://d.hatena.ne.jp/ikepyon/20070730

2007-07-27 あち〜

[]きた〜〜 きた〜〜を含むブックマーク きた〜〜のブックマークコメント

2ヶ月放置された記事が出たらしいw

どこかは、内緒の方向でw

しかし、こちらが書いたのとは、変えられてるんだよねぇ。まあ、それでよいかとしたほうも問題なんですが・・・それにタイトル勝手につけられてるし。

意図としては、もっと考えようという話だったんだけどね。わかりずらいかぁorz

[]経営者視点による情報セキュリティの位置づけ 経営者視点による情報セキュリティの位置づけを含むブックマーク 経営者視点による情報セキュリティの位置づけのブックマークコメント

http://www.microsoft.com/japan/technet/security/secnews/community/community070725.mspx

今回はばりかたの野見山さん。しかし、文章うまいなぁ。それに引き換え私は・・・orz

[] を含むブックマーク のブックマークコメント

http://blogs.itmedia.co.jp/daitaian/2007/07/it_c325.html

きっついなぁ〜。英語は読めるんだけど、文章作れないorz

もっと精進せねば

ockeghemockeghem 2007/07/27 11:45 内緒と言わずに教えてくださいよ。こっそりでも。

ockeghemockeghem 2007/07/27 11:46 そうそう、デザイン変わりましたね。

ikepyonikepyon 2007/07/27 11:49 いやぁ既にご存知でしょうw
夏なのでさわやか系にしてみました

トラックバック - http://d.hatena.ne.jp/ikepyon/20070727

2007-07-26 ねれなかったorz

[]英語の完全攻略法 実践編2 目標別の学習法教えます 英語の完全攻略法 実践編2 目標別の学習法教えますを含むブックマーク 英語の完全攻略法 実践編2 目標別の学習法教えますのブックマークコメント

http://itpro.nikkeibp.co.jp/article/Watcher/20070711/277258/

何とか英語が書けるようになりたいのだけど、単語を選んでSVOとかの文法どおりに並べてるだけだなぁ。

どうも、相手にうまく伝わっていない気もするけど・・・

もっと精進せねば

[]ストアドプロシジャがSQLインジェクション対策になるのか? ストアドプロシジャがSQLインジェクション対策になるのか?を含むブックマーク ストアドプロシジャがSQLインジェクション対策になるのか?のブックマークコメント

なるか?というと常にはならない気が。

ストアドプロシジャはSQL文をコンパイルしてDBMS側に保存しておくためのものであって、呼び出し方によっては、SQLインジェクション対策にはならないと思うのだけどどうなんでしょ?

SQL文でストアドプロシジャを呼び出すときは以下のような形で呼び出すことになると思う。これは、SQL Serverの例だけど(参照:http://msdn.microsoft.com/library/ja/default.asp?url=/library/ja/odssql/ods_6_con_01_1ptb.asp

EXECUTE au_info 'Dull', 'Ann'

従って、例えば以下のようなコードの場合、ストアドプロシジャを使っていてもSQLインジェクション対策にはならない。

String sql = "execute au_info '" + prm1 + "', '" + prm2 + ';";

statement.executeQuery(sql);

こんなコードを使ってる場合は、prm1とprm2にエスケープ処理をしないといけない。(つうか、大昔にこういったコードを大量に書いてたorzあのシステムさすがにもう動いてないよね)

本来であれば、こんな感じのほうがいいみたいだけどね。

String sql = "execte au_info ?,?;"

CallableStatement stat = con.prepareCall(sql);

stat.setString(1, prm1);

stat.setString(2, prm2);

stmt.executeQuery();

デモこれって、Prepared Statementと書き方同じだし、呼び出し方のコードによっては、SQLインジェクションが発生するので、SQLインジェクション対策として、ストアドプロシジャを進めるのはどうかなぁ?

まあ、環境依存するんだろうけど・・・

h-ふじたh-ふじた 2007/07/26 15:49 こんにちは。 ストアドプロシージャが(あとbindメカニズムが)使ってあるのにSQLインジェクションがあった、という実例がありました。まさしく書いているようなつくりでした。

ikepyonikepyon 2007/07/26 16:09 バインドメカニズムも実は危なかったりしますけどね
文字コードがアプリ側とDB側で違ったりすると・・・
実際mysql 4.0.16でインジェクションできてしまいましたしw

トラックバック - http://d.hatena.ne.jp/ikepyon/20070726

2007-07-25 ぐったり

[][]その時、IRTは動いた その時、IRTは動いたを含むブックマーク その時、IRTは動いたのブックマークコメント

インシデントが発生したときの対応で、その組織の印象がガラッと変わるような。

最近話題の組織はどうも外から見ている限り、インシデントレスポンスがうまく機能していないというか、全くなかったような気がする。

ウィルスWebサイトにあることを質問したら「ゲームやっていなければ感染しません」と返ってきたとかorz

いや、そういう問題じゃないし・・・

しかも、インシデントが見つかってから、場当たり的な対応しかせずに、自社のサービスの継続を優先しているとなると、どうも自分とこの利益しか考えず、ユーザ利益に目が行ってないんじゃないかとしか思えない。

本来であれば、一旦サービスを止めて、調査を行い根本的な対策を行ってからサービス再開するのが一番だと思うんだが・・・当然サービスを止めている間は、別の方法で似たようなサービス(例えば、電話サービスを提供するとか)を行うということをすれば、ユーザにも致命的な被害が出ないと思う。

こういったインシデントが発生したときを想定した運用がなされていないのかも、と外からの情報だけで分かってしまうのがなんともはやorz

サービス提供するなら、インシデントが発生してもすぐに対応できる体制が必要だと思うよ。

[]検査ツール 検査ツールを含むブックマーク 検査ツールのブックマークコメント

うーん、まっちゃまでにブラッシュアップしたバージョンが出来そうにないorz

検査モジュールの外だしがうまくいかんorz

理由は、Classパスが通ってないからだと分かっているんだけど、どうやればいいのかわからねぇorz

だれか教えてちょ〜だいm(_ _)m

トラックバック - http://d.hatena.ne.jp/ikepyon/20070725

2007-07-24 あち〜〜

半日しゃべりっぱなしで疲れた。

[]Webアプリ検査って儲かるの? Webアプリ検査って儲かるの?を含むブックマーク Webアプリ検査って儲かるの?のブックマークコメント

うーん、今の値段ってどうなんだろう?仕事がいっぱいあってウハウハ状態なら、考えてもよいかもw

まあ、私は検査できるほどの能力はありませんがorz

[]SQLインジェクションの歌 SQLインジェクションの歌を含むブックマーク SQLインジェクションの歌のブックマークコメント

ふと思ったのだけど、「右から来たものを左へ受け流す歌」って最後だけ変えれば「SQLインジェクションの歌」とか、「XSSの歌」とかになるなぁw

これらの脆弱性って、単に、右から来たものを左に受け流すだけだからなぁ

ockeghemockeghem 2007/07/24 19:57 >考えてもよいかもw
起業ということかなwww
>まあ、私は検査できるほどの能力はありませんが
謙遜だと思いますが、セキュリティ・スキル以外に忍耐力が必要だと思いますね。項目数と脆弱性パターン数の積で作業量が決まるわけですから、ご想像いただければと。XSSやSQLインジェクションは複数パターン試さないといけないし。

ikepyonikepyon 2007/07/24 20:21 以前やっていて、忍耐力が無いので、やめてしまったものですから・・・
たまにやるならいいかなぁと思った次第ですw

h-ふじたh-ふじた 2007/07/25 09:06 うーん。アプリ検査はあまり儲からないと思います。自分も一応はやってますけど、忍耐力0なので、この仕事は向かないなー、とおもってます。
それどころか、人生設計をしたときに、「この分野をはなれること」というのが最優先課題となりました。今は、この世界から足を洗う準備をしています。

ikepyonikepyon 2007/07/25 19:52 会社としては儲からないでしょうけど、個人としてはどうなのかなぁ?とかどれくらいが相場なのかなぁ?というのが疑問だったりします。

トラックバック - http://d.hatena.ne.jp/ikepyon/20070724

2007-07-23 何故だ?

「〜したい」と変換すると一番目が「死体」となる辞書って一体orz

[]要件定義カード1枚8万円──脱・人月商売宣言 要件定義カード1枚8万円──脱・人月商売宣言を含むブックマーク 要件定義カード1枚8万円──脱・人月商売宣言のブックマークコメント

http://www.atmarkit.co.jp/news/200707/19/starlogic.html

人月商売は良くないのはわかってるんだけど、これでやろうとすると、1要件の単位を細かくする必要があるのかな?

機会があったら、話を聞いてみたいな。

トラックバック - http://d.hatena.ne.jp/ikepyon/20070723

2007-07-20 だるいなぁ

Webアプリセキュリティをメインに研究したいなぁ。研究と教育だけをできる環境があればなぁw

[]Ajax アプリケーションに対するセキュリティーの脅威を克服する(from id:into_the_blueさんとこ) Ajax アプリケーションに対するセキュリティーの脅威を克服する(from id:into_the_blueさんとこ)を含むブックマーク Ajax アプリケーションに対するセキュリティーの脅威を克服する(from id:into_the_blueさんとこ)のブックマークコメント

http://www.ibm.com/developerworks/jp/xml/library/x-ajaxsecurity.html

ざっとしか見てないけどよさげ。しっかり、JSON危険性も書かれてるし。

やっぱ、JSONはきちんと対策しないと危険だなぁ。

h-ふじたh-ふじた 2007/07/21 10:17 自分もそんな環境に行きたいです。でも、セキュリティ、というよりは、アプリケーション作成全般の教育を主に行うというスタンスの法がいいかな、と思ってます。セキュリティはあくまでも一部、だと思うので、、、

ikepyonikepyon 2007/07/23 12:02 そうですねぇ。セキュリティはあくまで一部ですよねぇ。ただそこまで広げると難しい気もするんですが・・・

トラックバック - http://d.hatena.ne.jp/ikepyon/20070720

2007-07-19 ねむい

うーん、いろいろやらんといかんことが・・・

[]検査ツール進捗 検査ツール進捗を含むブックマーク 検査ツール進捗のブックマークコメント

そろそろ開発再開中。小ネタから、まずは修正中。検査中の操作については、開発協力を申し出てきた人にお願いしようかなぁ。

次期バージョンができたら、あちこちに告知するかなぁ?

しかし、某所のログを見る限りちまちまとダウンロードされているみたいだ。よく見つけるよなぁw

WAFは必要なのか? WAFは必要なのか?を含むブックマーク WAFは必要なのか?のブックマークコメント

WAFってあくまで保険なんだよなあ。しかもキチンとアプリを守ろうとすると、設定が大変だし。設定が適当だとあまり意味ないし。しかもアプライアンスがほとんどで、とっても高い。

加えて保険であるため、セキュリティ対策がしっかりしたアプリさえ作れれば、不要なものとなるし。まあこれが難しいけどね。

とは言え、毎日のように新しいアプリが追加されたり、ホスティングサービスのように一々アプリの確認ができない場合を除いて、いらないんじゃないかと思ったりして。アプリに問題があったら、直せば良いんだし、というか、本番稼働する前に直しとけって感じだけど。

普通組織には、値段のわりに得することは少ないなあと思うんだよねぇ。

最も、フリーの奴はタダなので設定さえキチンとすれば、結構使えるとは思うけど。

商用の奴は価格が高い上に保守やなんだで金かかりすぎだと思う。百万切らないとそうそう入れられないよなあと思う今日この頃

トラックバック - http://d.hatena.ne.jp/ikepyon/20070719

2007-07-18 たるい

[]検査ツール 検査ツールを含むブックマーク 検査ツールのブックマークコメント

そろそろキチンとプレゼン資料作った方がよいかな?

今あるのはソバ用にいい加減に作った奴だし。

一度まともに作ってみようかな?

[]セキュアデベロップメントブートキャンプ セキュアデベロップメントブートキャンプを含むブックマーク セキュアデベロップメントブートキャンプのブックマークコメント

みたいな講座があればいいなぁとふと思った昼下がりw

1週間であなたも安全なシステム開発・構築が出来るようになりますといったノリで。

当然「効果には個人差があります」と言う注釈付きw

[]“国家がクラッキングする時代”の防衛策とは〜SANS “国家がクラッキングする時代”の防衛策とは〜SANSを含むブックマーク “国家がクラッキングする時代”の防衛策とは〜SANSのブックマークコメント

http://www.atmarkit.co.jp/news/200707/17/sans.html

なかなか興味深い。確かに技術者のセキュリティレベルを測るための手法は必要かもなぁ(それだけじゃダメだけど)

yamagata21yamagata21 2007/07/18 09:43 まっちゃのアンケートに触発されましたかw

ikepyonikepyon 2007/07/18 10:35 いや、いつでもどこでもプレゼンできるようにですw
せっかく作ったので、使ってもらいたいですし

ya_taya_ta 2007/07/18 11:41 >ヤマガタさめ
>まっちゃのアンケートに触発されましたかw
寧ろ、あなたは触発されてくださいw

トラックバック - http://d.hatena.ne.jp/ikepyon/20070718

2007-07-17 ぐったり

なんかもうダメですorz

[]ソースコード監査 ソースコード監査を含むブックマーク ソースコード監査のブックマークコメント

http://d.hatena.ne.jp/sonodam/20070715/p1

以前、某商用ツールのコーディング規約チェック機能を確認したことがあるけど、確か、セキュアコーディング規約にあっているかどうかは特定のメソッドの有無とか、単なる文字列の検索だったと思う。

これだけじゃ、足りないんだよねぇ。

ということで、暇ができたら次は、ソースコード監査ツールでも作るか?と思っているんだけどねぇ。

一応、今考えているのは、こんな感じ。

・外部から取得されるデータの洗い出し(ここで言う外部とはソースコード以外から渡される入力データのこと)

・洗い出したデータを使用している箇所の列挙(代入されたら代入先もあわせて追跡)

実際のところ、ここまでが限界かなぁ?

[]これはひどいw これはひどいwを含むブックマーク これはひどいwのブックマークコメント

http://tomocha.net/diary/?20070715#200707151

多分出来合いのネットから拾ってきたソフトを使っているんだろうなぁと推測。

このあいだ見た奴は自社開発っぽかったんだけど、やっぱり何でもかんでもHiddenフィールドに入れてたしなぁ。

やっぱり、このあたりきっちりまとめて出したほうがよさげだなぁ。

そうそう、最近良く開発の外注に使われる某C国の開発事情ってどうなんだろう?

話を聞いたところは2つしかないんだけど、二つが二つともセキュリティ的にボロボロだったというんだけど・・・

なんとなくかの国では動きゃいいじゃんというノリで作ってそうなんで非常に怖いんですが・・・

ここら辺知っている人いれば教えてほしいなぁ。

トラックバック - http://d.hatena.ne.jp/ikepyon/20070717

2007-07-13 疲れた

今週はずっとデズッパリで大変疲れた。

[]セキュアなアプリケーションの作り方 セキュアなアプリケーションの作り方を含むブックマーク セキュアなアプリケーションの作り方のブックマークコメント

今週は、久しぶりに外でゴソゴソしていたのだけど、セキュアプログラミングではなく、セキュアなアプリケーションの開発手法みたいなのをしっかりまとめたほうがいいかなぁと思った。というのも、久々に「これはすごい」というようなアプリケーションを見たので、実際のところ、セキュアな開発手法というのは一般化してないのかなぁ?と思ったのですよ。ほんとのところはどうなんでしょねぇ>検査している人

ちと、時間できたら、まとめてみるかなぁ。

その前に、ツールのほうをブラッシュアップして、サイトを作らないとなぁ。

トラックバック - http://d.hatena.ne.jp/ikepyon/20070713

2007-07-03 めざせ専業主夫

専業主夫をしてみたいなぁと思う今日この頃w

[]セキュリティ推進室 美穂ちゃんの日々 セキュリティ推進室 美穂ちゃんの日々を含むブックマーク セキュリティ推進室 美穂ちゃんの日々のブックマークコメント

http://security27000.blog107.fc2.com/

ISMS系の漫画らしい。こういうのもありなんだろうなぁ。わたしにゃ絵心無いのでかけませんが・・・

[]セキュアデベロップメントそにょさん セキュアデベロップメントそにょさんを含むブックマーク セキュアデベロップメントそにょさんのブックマークコメント

要件定義でセキュリティを考えるとすると、この段階では何をする機能を実装するのか?運用はどうするのか?といったことが具体的に決まってないと思われるので、「何を守ればいいのかわからね〜」ということになりがちだと思う。

かといって、開発委託先に「セキュリティもお願いね」といわれても、現状委託先は委託先で、「お金もらわんとできねぇよ」ということになってしまうのかなぁ?と思うんだな。かといって、お金は出せないし・・・ということで、とりあえず、動くもの作ってねとなって結局セキュリティ対策がなされていないものができてしまうのではなかろうか?

となると、要件定義の段階では、大雑把にやりたいこと=機能が見えているので、それにあわせた脅威に対する対策を行ってねとお願いするのが一番いい気がする。

大体、アプリケーションが実装しなければならない機能は究極のところ、データを検索、更新・追加、削除して実装するわけだから、結構同じような脅威があるんではないかなぁ?と思う。

その脅威に対して、対策してねというようにすれば、要件定義の段階ではいい気がするんだけどどうかなぁ?

トラックバック - http://d.hatena.ne.jp/ikepyon/20070703

2007-07-02 ねむねむ

週末は寝て過ごしたorz

[]ディレクトリトラバーサルの検出 ディレクトリトラバーサルの検出を含むブックマーク ディレクトリトラバーサルの検出のブックマークコメント

ちとディレクトリトラバーサルの検出方法を検討していて、よさげなのを思いついたので、忘れないようにメモ

あくまでメモなので、他人が理解できなくても関知しないw

1. 存在すると考えられるファイル(例えば、../../../../../etc/passwd)と絶対に存在しないファイル相対パス(../../../../../etc/hgoeiuwh)をそれぞれ送信

2. レスポンスタグ構造が異なれば、存在すると考えられるファイルが読み込めたと想定できるので、脆弱性ありと考えられる->処理終了

レスポンスタグ構造が同じ場合、以下の二つの場合が考えられる。

  ・両方とも、ファイルが読めないor書き込めないというエラーである(脆弱性なし)

  ・片一方は、ファイルフォーマットが違うor書き込み件が無い、もう一方はファイル存在しないというエラーである(脆弱性あり)

3. レスポンスタグ構造が同じ場合、次の2つのデータを送信し、そのレスポンスが同じかどうかを判断する。

  例えば./etc/passwdと../../../../../etc/passwd

  ・レスポンスが同じ=両方ともエラーが発生(ともにアクセスできないから)=脆弱性なし

  ・レスポンスが異なる=前者はエラーファイル存在しないし)、後者は(読み込みできたけどエラー

    =脆弱性あり

とまあ、こんな感じ。

うまくこれで検出できるかなぁ?

[]「新たなIT市場の現状と展望」について 「新たなIT市場の現状と展望」についてを含むブックマーク 「新たなIT市場の現状と展望」についてのブックマークコメント

http://www.meti.go.jp/press/20070629006/20070629006.html

ふむ、今後Webアプリが増えるって予想なのね。それだけWebアプリセキュリティ重要になると思うんだけど、追いついていけるのかなぁ?

なんか、人が足りなくて、粗製濫造されて、今よりもっとひどいことになりそうな予感。


1900 | 01 | 06 |
2003 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 02 | 03 | 04 |
2011 | 01 | 02 |