ikepyonのお気楽な日々〜技術ネタ風味〜 このページをアンテナに追加 RSSフィード

気になった日々のニュースとメモのためのリンクと戯言のページ

To Do(というかやりたいこと。何時終わることやら)
-ITIL導入のための成熟度チェックシートみたいなの(あると便利だよね?)
-Hacknotes Web Security Portable Reference和訳(出版社募集中)
-Webアプリケーションセキュリティ検査ツールの改良(一応完成)
-Hacker HighSchoolの資料の日本語訳
-OSSTMMの日本語訳
-「燃えるセキュアプログラミング」若しくは「サルでも分かるセキュアプログラミング」とか書いてみたいなぁみたいな。

これだけはチェックしときなはれ!!受入れテスト用セキュリティチェックリスト公開中
Webアプリケーションセキュリティはてなぐるーぷ(テスト中やで)
SQL Injectionの仕組みと対策公開中
RSS feed meter for http://d.hatena.ne.jp/ikepyon/
Secure Coding に入ろう!! [MLの詳細]
メールアドレス
SKUF Meeting なかのひと

2005-08-24 あと1日

[][]OWASP東京支部(from bunさんとこ) OWASP東京支部(from bunさんとこ) - ikepyonのお気楽な日々〜技術ネタ風味〜 を含むブックマーク OWASP東京支部(from bunさんとこ) - ikepyonのお気楽な日々〜技術ネタ風味〜 のブックマークコメント

http://www.owasp.org/local/tokyo.html

日時:9月22日(木曜日) 18:30〜20:30

場所:東京都港区赤坂1−12−32 アーク森ビル27F トランスデジタル株式会社 第2会議室地図

ということらしい。参加できそうなら参加しようっと。

しかし、OWASPのトップページからリンクは非常に探しづらいのですがw。文字コードもアレですし、何とかならないかなぁ。と言ってみるテスト

2005-06-23 あつ〜い

[][]ウェブサイトセキュリティ対策の再確認を 〜脆弱性対策のチェックポイントウェブサイトのセキュリティ対策の再確認を 〜脆弱性対策のチェックポイント〜 - ikepyonのお気楽な日々〜技術ネタ風味〜 を含むブックマーク ウェブサイトのセキュリティ対策の再確認を 〜脆弱性対策のチェックポイント〜 - ikepyonのお気楽な日々〜技術ネタ風味〜 のブックマークコメント

http://www.ipa.go.jp/security/vuln/20050623_websecurity.html

なかなかよさげ。開発者はこういったことを考えてほしいなぁ。あとは発注時のチェックポイントが欲しいなぁ。

2005-06-17 今日は午後からセミナー

[][]AppSec DC 2005 AppSec DC 2005 - ikepyonのお気楽な日々〜技術ネタ風味〜 を含むブックマーク AppSec DC 2005 - ikepyonのお気楽な日々〜技術ネタ風味〜 のブックマークコメント

http://www.owasp.org/conferences/appsec2005dc.html

行きたいけど、アメリカは無理だ〜TT

日本でもこういうのやらないかなぁ。

2005-06-16 しとしと

[][]第14回 Webアプリケーションセキュリティの常識 (1/4) 第14回 Webアプリケーションセキュリティの常識 (1/4) - ikepyonのお気楽な日々〜技術ネタ風味〜 を含むブックマーク 第14回 Webアプリケーションセキュリティの常識 (1/4) - ikepyonのお気楽な日々〜技術ネタ風味〜 のブックマークコメント

http://www.itmedia.co.jp/enterprise/articles/0506/16/news030.html

うーー、勉強会の資料でわざと隠したことがすべてすっかりまるっと出てるよoTL。意味なかったかなぁ?まあ、いいか変な問題抱え込まなくていいし。

とまあ内容はごくごく当たり前のこと。勉強会で話した仕様のツールがあればかな〜り精度が上がると思うんだな。もともとツール作るための資料としてまとめたものだし。

しかし、最近いろいろ手を出しすぎだ^^;。ほんとできるかなぁ?

まーまー 2005/06/17 09:29 私も書いちゃって(Webで公開しちゃって)いいの?という気がしました・・・。

ikepyonikepyon 2005/06/17 10:24 具体的過ぎますもんね、アレは。どこでも試す人が出るに10カノッサ(って知らない人がいたんだよなぁ、カノッサの屈辱)。

h-fujitah-fujita 2005/06/17 14:36 うーん でてますねぇ。 でも 、わかるひとならわかるわけで、 でも、どこでも試すひとが出てきそうって懸念はわかるです。ただ、手動でへこへこやってる側からすると、「ほんとにできるかどうか」ってのは、それなりに手間ではあるので、すぐに「ぎゃ〜」とかいうことはすくないかなぁ、、とおもってます。ただ「やるやつはやる」でしょうが、、そういう人は別ルートで勉強するとも思います。

2005-06-15 じとじと

2005-06-13 ねむねむ

[][]趣味と実益のWebアプリケーション検査 趣味と実益のWebアプリケーション検査 - ikepyonのお気楽な日々〜技術ネタ風味〜 を含むブックマーク 趣味と実益のWebアプリケーション検査 - ikepyonのお気楽な日々〜技術ネタ風味〜 のブックマークコメント

http://matcha139.hiemalis.org/~isamik/doc/WebApliSec.pdf

ということで6/4に講師をやったまっちゃ139勉強会の資料が公開された。まあ、へぼへぼなので役に立つかどうかはなはだ疑問だけど、ちょっとでも役に立ってくれれば幸い。

資料には何も書いてないけど、改変、利用、パクリに何の制限もつけないのでいろいろ使ってもらえたらうれしいなぁ。

他の方の資料も役に立つので、リンク

http://matcha139.hiemalis.org/~isamik/document.html

2004-12-16 ねむ〜

[] ねむ〜 - ikepyonのお気楽な日々〜技術ネタ風味〜 を含むブックマーク ねむ〜 - ikepyonのお気楽な日々〜技術ネタ風味〜 のブックマークコメント

時間がちょっと出来たのでWebInspectをお試し中。

SQL Injection

とりあえず「'」が含まれていたらエラーメッセージを出すようなCGIを作って試してみた。

エラーメッセージ : 検出結果

ODBC Error    : SQL Injectionを検出

Error        : 何も検出せず

ORA-        : 何も検出せず

Internal Error   : 何も検出せず

MySQL Error   : 何も検出せず

DataBase Error  : 何も検出せず

もしかしてODBCエラーしか引っ掛けてないですか?それとも他の検出方法で引っ掛けてますか?

うーん。

レスポンスを調べる文字列が少なすぎると、結局全ての結果人手でチェックする必要があるのであまりうれしくないんですけど・・・もっとも、他の方法も試しているというのであれば申し訳ないけど、これとログを見る限りそんな感じはしないんですが。

暇があればもう少しきちんと調べるんだけど、無くなってしまった・・・たぶんライセンスが使える間に暇はなさそう。

しかし、こんなこと調べてるけど、結果を見てうれしい人いるのかなぁ?いればまた暇を見つけてやってみるんだけど。

hasegawayosukehasegawayosuke 2004/12/17 10:02 模様替えしてる…。

ikepyonikepyon 2004/12/17 12:10 冬ですから(笑)

MYAMYA 2004/12/17 12:14 旅は東北が待ってるらしいです(w

ikepyonikepyon 2004/12/17 13:01 いいですねぇ>東北。また行ってこようっと。


1900 | 01 | 06 |
2003 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 02 | 03 | 04 |
2011 | 01 | 02 |