ikepyonのお気楽な日々〜技術ネタ風味〜 このページをアンテナに追加 RSSフィード

気になった日々のニュースとメモのためのリンクと戯言のページ

To Do(というかやりたいこと。何時終わることやら)
-ITIL導入のための成熟度チェックシートみたいなの(あると便利だよね?)
-Hacknotes Web Security Portable Reference和訳(出版社募集中)
-Webアプリケーションセキュリティ検査ツールの改良(一応完成)
-Hacker HighSchoolの資料の日本語訳
-OSSTMMの日本語訳
-「燃えるセキュアプログラミング」若しくは「サルでも分かるセキュアプログラミング」とか書いてみたいなぁみたいな。

これだけはチェックしときなはれ!!受入れテスト用セキュリティチェックリスト公開中
Webアプリケーションセキュリティはてなぐるーぷ(テスト中やで)
SQL Injectionの仕組みと対策公開中
RSS feed meter for http://d.hatena.ne.jp/ikepyon/
Secure Coding に入ろう!! [MLの詳細]
メールアドレス
SKUF Meeting なかのひと

2007-12-26 心と体が寒い日々

この数日間はいつものとおり一人寂しく過ごしてたorz

2007-12-19 くぅ

[]codeなにがし codeなにがしを含むブックマーク codeなにがしのブックマークコメント

http://code.nanigac.com/

取り組みとして面白いかも。

http://code.nanigac.com/forum/view/156

http://code.nanigac.com/source/view/370

とか面白いかも

[]Jameleon Jameleonを含むブックマーク Jameleonのブックマークコメント

http://jameleon.sourceforge.net/index.html

テストツールらしいが、望んでいるものとちょっと違う

2007-12-14 一人さびしく冬の夜空を見る会w

身も心も寒いなか冬の夜空を見に行きたいw

[]Dependency Walker Dependency Walker を含むブックマーク Dependency Walker のブックマークコメント

http://www.dependencywalker.com/

モジュール依存を調べるツール。何かと役に立ったw

[]自虐ねたかもorz 自虐ねたかもorzを含むブックマーク 自虐ねたかもorzのブックマークコメント

いつもお世話になっているのであの人に

大切な人にクリスマスプレゼントを贈りたい!

ニンテンドーDS Lite クリスタルホワイト【メーカー生産終了】

ニンテンドーDS Lite クリスタルホワイト【メーカー生産終了】

といってみる

2007-12-11 アレも、コレも望む機能じゃなかったorz

というか、アレも、コレもフルオートであることを目的としている気がしてきた。

[]ツール ツールを含むブックマーク ツールのブックマークコメント

諸般の都合により、トップからツールの募集をはずします。とはいっても、別の日に移しただけですけど…

近々(できれば正月明けぐらい)に新バージョンを公開できたらいいなぁとか思っちゃったりしたりして。

トラックバック - http://d.hatena.ne.jp/ikepyon/20071211

2007-12-07 民明書房の暗号化モジュールって・・・

なぜ「民間初の暗号モジュール」を「民明書房暗号モジュール」と空目するかなぁorz

大体、民明書房暗号モジュールってどんなんだよw

[]WebScarab WebScarabを含むブックマーク WebScarabのブックマークコメント

結構使える。結構いいのが、Javaのようなコードを書くことで、WebScarab経由のリクエストレスポンスを加工できることかな。

こんな感じ。

/* Please read the JavaDoc and/or the source to understand what methods are available */

import org.owasp.webscarab.model.Request;
import org.owasp.webscarab.model.Response;
import org.owasp.webscarab.httpclient.HTTPClient;
import java.io.IOException;

public Response fetchResponse(HTTPClient nextPlugin, Request request) throws IOException {
   Request newRequest;
   final static String userAgent = "書き換えたいユーザエージェントを記述します";
   final static String headerName = "追加したいヘッダ名を記述します";
   final static String headerValue = "追加したいヘッダ値を記述します";

   newRequest = new Request(request);

   newRequest.setHeader("User-Agent", userAgent);
   newRequest.addHeader(headerName, headerValue);

   response = nextPlugin.fetchResponse(newRequest);
   return response;
}

ヘッダの追加とか、変更はProxomitronだと楽だったけど、今はメンテされてないし・・・

検査のときとか楽かなってな感じで。

トラックバック - http://d.hatena.ne.jp/ikepyon/20071207

2007-12-03 締め切りが襲ってくるよぉ〜(涙

[]ディレクトリトラバーサル ディレクトリトラバーサルを含むブックマーク ディレクトリトラバーサルのブックマークコメント

ふと思い立って、ディレクトリトラバーサル対策を調べてみた。

http://www.ipa.go.jp/security/awareness/vendor/programmingv2/web05.html

IPAのセキュアプログラミング講座はいわゆる「サニタイズ」なので、正しくないわけではないが、UTF-8の冗長的な表現方法とか、URLエンコードした文字コードがらみのデータとか受け取った場合にうまくいかない可能性があるので今一な気がする。

http://ja.wikipedia.org/wiki/%E3%83%87%E3%82%A3%E3%83%AC%E3%82%AF%E3%83%88%E3%83%AA%E3%83%88%E3%83%A9%E3%83%90%E3%83%BC%E3%82%B5%E3%83%AB

対するWikipediaのほうは、どんな環境でも使えるわけではないだろうけど、対策としては漏れが発生しにくい分、よいような。

後は、使用するファイルがあらかじめ決められているのであれば、ファイル名をそのまま埋め込むのでは無く、IDファイル名の対応表のようなものを作っておき、HiddenにはIDを埋め込むというのもいい方法だと思う。

ま、IPAのやつに気になる部分が書いてあったので、書いただけだけど・・・

ockeghemockeghem 2007/12/04 08:22 >URLエンコードしたデータとか受け取った場合にうまくいかない可能性があるので今一な気がする
良く分からないのですが、ふつー受け取る時はURLエンコード(パーセントエンコード)されているでは?

ikepyonikepyon 2007/12/04 12:50 あ、そうですよね。何勘違いしてたんだろう<自分
正しくは文字コードがらみだったorz

トラックバック - http://d.hatena.ne.jp/ikepyon/20071203

1900 | 01 | 06 |
2003 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 02 | 03 | 04 |
2011 | 01 | 02 |
Connection: close