トップ 追記

"週"記

日記?ムリっ。
半年1回の更新を目指すよう心がけます。
RSS

WebAppSec

2003|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|03|04|05|06|07|08|09|12|
2008|01|02|
2009|04|
2010|02|

履歴


2010-02-02

_ [etc] 生存確認

すっかり放置なここですが、年1更新目指してがんばります。
で、今年分(笑)。

_ [etc] 情報セキュリティの日

さて、私事で恐縮ですが、本日婚姻届を提出し無事受理されました。
至らぬ点が多々ありご迷惑おかけすることもあるかと思いますが、今後ともよろしくお願いします。

本日のツッコミ(全32件) [ツッコミを入れる]

Before...

_ naka64 [出遅れましたが、おめでとうございます。]

_ sayatan [おめでとう!お幸せに!]

_ bio [やっと年貢を納めたね、おめでとさん。]

_ Youko [おめとー。 ニーニーニーニーな猫の日ですな。]

_ okubee [まじっすか!おめでとさんです!]

_ 金床 [おめでとうございます!!!!]

_ mogi [おめでとうございます!!!1 そっち系?でお相手を見つけてしまうなんてうらやましっす!!!]

_ bun [おっと、今更ここを見てくれてる人がいると思ってなかったので自分でも見てなかったら、いっぱいコメントが(汗) みなさ..]

_ yuka&katsu [おめでとう! 入籍したなら連絡ぐらいしなよ!! 本籍はもう忘れないようにね!!! うちの娘に従兄弟を!!!!]

_ ken [こんなページが存在したとは。そっち系って何? 根掘り葉掘りつっこまんとなぁ。kumiも興味津々w]


2009-04-13

_ [etc] 生存確認

いろんな人から、「放置しすぎ」と怒られました。
それはともかく、ちゃんと仕事はしてます。

_ xcorp [> 半年1回の更新 > 半年1回の更新 > 半年1回の更新 > 半年1回の更新 > 半年1回の更新 (..]


2008-02-21

_ [etc] 第12回 セキュリティもみじ セミナー

広島で話すことになりました。お近くの方は是非どうぞ。

■第12回 セキュリティもみじ セミナー
「イマドキのWeb監査/ライトニングトーク 3連発」

■ 日時 ■

2008年3月1日(土)
13時〜16時30分

タイムテーブル
12:30〜 開場
13:00〜 開始
メイン講演「イマドキのWeb監査」

14:15〜14:30 休憩
14:30〜16:00 ライトニングトーク3連発
16:00〜 自己紹介タイム
16:30 終了

■ 会場 ■

広島県立産業技術交流センター
http://www.hiwave.or.jp/hikos/kouryu/kouryutop.htm

住所:広島市中区千田町3丁目7番47号 広島県情報プラザ内

●講演タイトル
「イマドキのWeb監査」

●講演内容
価格.comの侵入事件から、XSSなどのWEBアプリの脆弱性というものが知られるよ
うになってからずいぶんと経ちますが、未だに多くのWebアプリケーションにXSS
に対する脆弱性が作り込まれ続けています。攻撃の基本原理は変わらないものの、
攻撃方法は複雑化し、対策側も進化しています。今回はXSSについて改めて、その
攻撃手法、被害、対策などについて、デモを交えながら紹介し、XSS撲滅に役立て
ていただきたいと思います。また今話題のXSS Challenges(*)で、クリアが難しそ
うな箇所について解答orヒントを解説したいと思います。

XSS Challenges by yamagata21
http://xss-quiz.int21h.jp/

講演時間:1時間程度

2008-02-13

_ [etc] www.webappsec.jp の証明書

更新しました。更新しようかどうしようか迷ってたら、blueに怒られちゃったし。

ここもなんか有効に使わないとなぁ。

_ [etc] Firefoxのアドオン

blueがFoxyProxyを使ってるみたいだけど、自分はPrefBarのProxylist使ってる。リストの中から使いたいプロキシを選択するだけの単純なのがいい。
それと、Firefoxのツールバーをランチャーのように使えるのも便利。ボタン作ってonClickに、
var args = ['-jar', 'C:\\Program Files\\burpsuite_v1.1\\burpsuite_v1.1.jar'];
prefbarExecute('C:\\WINDOWS\\system32\\javaw.exe', args);
delete args;
こんなの書いておけば、ブラウザから一発起動でラクチン。

2008-01-03

_ [etc] あけましておめでとうございます。

昨年はいろいろお世話になりました。 今年もよろしくお願いします。

去年やろうと思っててできなかったことが山ほど有るので、今年はそれを一つずつ片付けていくのが目標かなぁ。
"週"記を維持するのが先か...

_ [etc] 画像ファイルに偽装した,HDDをフォーマットしようとするトロイの木馬がネットで話題に

情報を見つけてその画像ファイルにアクセスしようとしたときにはもう削除されてて捕獲できず。どんなファイルなのかとても興味あるので、持ってる方は見せてもらえるとありがたいです。

_ [etc] 例のメール

去年1月1日に届いてこなかった例のメールが、今年もまた来ないorz
届いてからじゃないと公表しちゃいけないらしいし、確認してもらって再送される頃にはすっかりタイミング逃した後だし、どうしたもんか。


2007-12-24

_ [etc] MyMiniCity

流行物には乗ってみよう、ってことで今更ながら作ってみた。
http://ankokuty.myminicity.com/


2007-12-18

_ [etc] tDiary 2.2.0

バージョンアップしてみた。


2007-12-16

_ [etc] 0day?

よく考えたらこれ、0day 攻撃受けたってことなのか?

こういう場合、どうしたらいいんだろ。まともにIPAとか通してると(間にステップが入る分)どうしても対応が遅くなるし。攻撃手法が公開されてるとはいえ、どのくらい知れ渡ってるのかよくわからないし。そもそも攻撃手法が出回っちゃってるものって、IPAの守備範囲なんだっけ?

オープンソースのものなら修正を開発者に押しつけるのではなく、自分(もしくはできる人)が修正版を公開して、後で本家にマージしてもらうのがいいのか?

とかいろいろ考えてたら、やられてることはずいぶん前から知ってたんだけど、結果的に対応が遅くなってしまった。申し訳ない。


2007-12-15

_ [webappsec] </xssed> Domain: devnull.jp (blueタン、thanks!!)

tDiary の category.rb に問題があるみたい。 他のサイトにも影響があるだろうということでblueタンがIPAにも通報してくれて、開発者も認識済みらしいので、近々正式に対策されたものが出てくるでしょう。

ちなみに自分のところはどうしてるかというと、自分でちょっといじってしまいました。本質的な対策じゃないけど、参考にどうぞ。

--- category.rb.old     2007-12-14 17:50:24.000000000 +0900
+++ category.rb 2007-12-14 17:51:27.000000000 +0900
@@ -339,7 +339,7 @@
                        @mode = :all
                end
 
-               if /\d{4}/ === @year.to_s
+               if /^\d{4}$/ === @year.to_s
                        @mode = :year
                else
                        @year = nil

2007-12-17追記
開発元からアナウンスが出てるので、これで対策した方がいいと思います。
tDiaryの脆弱性に関する報告(2007-12-16)


2007-09-30

_ [etc] 申し込みフォーム

テストしてくれてるのは誰だろう? A...さんかな?


無料アクセス解析