トップ 最新 追記

"週"記

日記?ムリっ。
半年1回の更新を目指すよう心がけます。
RSS

WebAppSec

2003|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|03|04|05|06|07|08|09|12|
2008|01|02|
2009|04|
2010|02|

履歴


2004-04-01

_ [etc] アンテナ

妙にいっぱい引っかかるなぁと思ったら、「はてなダイアリー」→「はてなブログ」になってました。
http://d.hatena.ne.jp/hatenadiary/20040401#1080779666

_ [ダーツ] 徹夜

になる予定。

本日のツッコミ(全2件) [ツッコミを入れる]

_ seculogger [さては、まだ3月続いてますか(笑。おつかれさまです。]

_ bun [すみません、徹夜でダーツしてました(w]


2004-04-02

_ [webapp] OWASP

復活したようです。YamaKenさん情報ありがとうございます。


2004-04-06

_ [etc] 某書籍

ムリ言って1冊もらってしまいました(^^;;)。皆様、お疲れ様でした。
さて、読まねば。

本日のツッコミ(全1件) [ツッコミを入れる]

_ みゃー [あ。せこーい!(゜д゜]


2004-04-08

_ [etc] ぼ〜っと

してます。今日は何かあったら口を出すのが仕事なので、何もなければ何もしなくていいようです。
「ネットスケープ」と一言喋っただけで他何もしてません。

時間がもったいないので、メモメモにしたまま放置してあったネタを処理するかな。

_ [doc] セキュアなプログラマー: 入力を検証する

3/26にメモしたネタ。セキュアなプログラムを作る際のキモの1つの、入力値チェックについて詳しく書いてある。

大きな間違いの一つは、「不正な」データ値をチェックしようとすることです。 (中略) それよりも、何が「正しい 」のかをきちんと決め、データがその定義に合致しているかをチェックし、その定義に合致しないデータはどんなものでも拒否するようにすべきなのです。

入力値チェックはこれが全て。その上で攻撃を検知したい場合は「不正な」データ値をチェックすればよいでしょう。

_ [doc] Detection of SQL Injection and Cross-site Scripting Attacks

3/19にメモしたネタ。SQL Injection と XSS を見つける方法について。
検知しようとしているパターンは「ありそうだなぁ」と思うんですが、検知するための正規表現にツッコミどころが満載。

/((\%3D)|(=))[^\n]*((\%27)|(\')|(\-\-)|(\%3B)|(;))/i

これだと、

= 〜 --

は検知されそうですけど、

= 〜 %2D%2D

とすると、くぐり抜けるんじゃないのか? URL エンコードされたままの状態で検知しようとするときっとどこかで限界がくるはずなので、1回だけデコードしてそこから検知したほうが賢いかな。もちろん、アプリケーションでも1回だけデコードしてることが前提。
そうすると同じパターンを検知する正規表現は、

/=[^\n]*(\'|(\-\-)|;)/

となってすっきり。こんなつまんないミスも減らせるでしょう。

_ というところで

今日の仕事は打ち止め。呑み行きて〜。


2004-04-09

_ [etc] 首が痛い

決して、変な姿勢で昼寝してたからではありません。

本日のツッコミ(全1件) [ツッコミを入れる]

_ みゃー [だーつしすぎ?(゜ー゜]


2004-04-12

_ [doc] OWASP Web Application Penetration Checklist (OWASPWebAppPenTestList1.0.pdf)

Draft Version 1.0 が出てます。

例によって英語だから、メモメモ。


2004-04-14

_ [doc] Guardian@JUMPERZ.NET ユーザーズマニュアル日本語版

できてます。すばらしいです。


2004-04-17 ケーキオフ

_ [tool] Guardian@JUMPERZ.NET

バージョンアップ。HTTPS周りのちょっとした機能を要望してみたんですが、対応して頂けました。ありがとうございます。m(_ _)m

詳細は試してみてから書きます。
追記: 詳細はコチラ

_ [tool] httprint日本語化パッチ

catnap's Diary(毎日更新)の2004/04/12より。httprintくらいの英語量だったらそんなに困ってなかったけど。

httprint って全然シグネチャが更新されてないなぁ。

_ [ダーツ] 6.96

あと0.04。も〜ちょい。

_ [ダーツ] 994

こっちもも〜ちょい。

本日のツッコミ(全2件) [ツッコミを入れる]

_ まむぅ [結局ダーツへ・・・・・・・・・・ Σ(・ω・ノ)ノ]

_ bun [やってないよ〜。朝の時点での記録。]


2004-04-18 二日酔い

_ [etc] 頭痛くて死んでます

だめだめに酔って、途中で抜けさせて頂きました。(;´Д`)
帰りがけに、「今日の話はNDAってことで」と言われましたが、何話したのかさっぱり覚えてません。

お金払った記憶もないのですが、思い当たる方は請求書ください。

_ [tool] Guardian@JUMPERZ.NET

SslTarget というプラグインが追加されています。 前バージョンでは Guardian@JUMPERZ.NET とウェブサーバー間の通信は HTTP だけだったのですが、このプラグインで HTTPS も使えるようになります。使用方法は日本語マニュアルのSslTarget参照。

本日のツッコミ(全4件) [ツッコミを入れる]

_ たぬきん [おいら昼くらいに起きたけど二日酔いなしだたよー。 五時くらいにおうち帰ってきたので、八時間くらい寝たかな。 それか..]

_ bun [酒ってゆーか、午前中から起動してた眠気に負けました。]

_ みゃー [酒は飲んでも飲まれるな(w わたしは飲めませんが。]

_ xcorp [先日はどもでしたー。最後まで残っていた私も払ってないので、そーゆーことでヽ(´ー`)ノ]


2004-04-20

_ [tool] Guardian@JUMPERZ.NET

バージョンアップ。SslTargetにバグがあったそうで、そのバグフィックスがされてます。SslTargetを使う場合はバージョンアップしておきましょう。

本日のツッコミ(全5件) [ツッコミを入れる]

_ bun [TinyProxy なんてプラグインも増えてるなぁ。なんだろなぁ。(とここで質問を書いてみる)]

_ 金床 [わはは(笑)。いや、普通にHTTPプロキシになっちゃうプラグインです。Guardianをローカルで使う場合か、ハニポ..]

_ みゃー [ちゃんとQだしたらAが帰ってくるコメント欄ってスバラスィネ!(゜▽゜]

_ bun [すばらしいんですけど、いつもQばっかでスミマセン。]

_ みゃー [鯖フッカツオメー(´ー`)ノ]


2004-04-22

_ [doc] SQL Injection Signatures Evasion

IDS/IPS が SQL Injection を検知するのを回避する方法について。

私は普段検査をやってる人なので、お客様の監視のご迷惑にならないよう回避する技術も勉強しないといけないなぁ。

本日のツッコミ(全3件) [ツッコミを入れる]

_ みゃー [検査という名のこうげ・・・・・(げふんごふん]

_ bun [ヽ(`Д´)ノ「検査」だってば〜]

_ みゃー [なにもいってないですYO!(゜∀゜]


2004-04-24

_ [etc] _| ̄|○

某MLにて、某氏に毒舌対決を挑んでみたんですが、一撃で返り討ちされました。彼女とまともに対決できる某氏はすごいなぁとあらためて実感。

本日のツッコミ(全6件) [ツッコミを入れる]

_ みゃー [んー。そんな彼女も黒弁護士はすごいと言っていたりして(w]

_ blackberry [これは、コメントカケの意思表示と取っていいのですね。(うひ で、まともに対決できるって誰よ?]

_ bun [もちろんいつも毒舌対決してた某氏ですってば。そういえば最近対決見てないような気がするなぁ。]

_ みゃー [最近潜ってる風味ですしねぇ(´ー`)ノ]

_ みゃー [ついにBlackって認めたノデスネ。。。]

_ blackberry [私が引退宣言しましたので(笑 >毒舌対決]


2004-04-27

_ [webapp] HackMe @ Elderson.net

このテのサイトって、わざとらしい穴を作り込みがちで好きじゃないんですが、まぁこのくらいならありえるかなぁって穴もあるので。

本日のツッコミ(全1件) [ツッコミを入れる]

_ みゃー [message behind on our guestbook のguestbookが404なのも罠なのヵしら。。..]


2004-04-29

_ [etc] GW

連休な人が多いんですかねぇ。私はカレンダー通りで。

本日のツッコミ(全1件) [ツッコミを入れる]

_ みゃー [ホントカナ(゜ー゜]


無料アクセス解析