トップ 最新 追記

"週"記

日記?ムリっ。
半年1回の更新を目指すよう心がけます。
RSS

WebAppSec

2003|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|03|04|05|06|07|08|09|12|
2008|01|02|
2009|04|
2010|02|

履歴


2006-08-02

_ [webappsec][doc] Feed Injection in Web 2.0

http://www.spidynamics.com/assets/documents/HackingFeeds.pdf

RSS や Atom に悪意のあるスクリプトなどを入れておくと、それが RSS リーダー上で動いてしまうと、XSS や CSRF などの被害を受ける可能性がある、という話。
RSS リーダーの作者さん、気をつけてください。


2006-08-04


2006-08-07

_ [etc] CATPROJECT -the first contact-

お疲れ様でした。
時間通り進めてたとこからも、しっかり運営できていたと思います。休憩時間が意外と長かったとこにちょっと驚いたけど、だらだらとした休憩ではなく参加者同士の交流に使えていたので、まぁあれはあれでよかったのかな、と。 事前に若干大人の入れ知恵はあったかもしれないけど、実際に手を動かしていたのは(当日来れなかった人も含め)運営委員会のメンバーたちなので、自分たちの成果として自信を持っていいと思います。
この経験を、是非次に生かして欲しいです。

本日のツッコミ(全1件) [ツッコミを入れる]

_ Stacy [次はもっと頑張りますからね。]


2006-08-09

_ [etc] セキュリティキャンプ

今日からセキュリティキャンプで、出かけてます。なかなかたくましそうなのが集まってきてて、いろいろ楽しそうです。


2006-08-13

_ [etc] セキュリティキャンプ

ひとまず終わりました。お疲れ様でした〜。

講義ではちょっとした XSS のデモをしたんですが、終了後に数人の方から、「さらっと真っ黒」とか言われ。
私が黒いかどうかは議論の余地がありそうですけど、デモが印象に残ってくれてたら成功なので、目的は達成ってことで。

本日のツッコミ(全5件) [ツッコミを入れる]

_ とくめいきぼー [もともと、マックロだとおもいますー]

_ とくめいきぼー2マックロだとおもいますー++ [マックロだとおもいますー++]

_ とくめいきぼーー3マックロだと思いますー+++ [正直、一番さわやかな顔されて、一番、まっくろだったと思います。]

_ とくめいきぼー(よねよねよ) [まっくろだと思います(o°▽°)o でも、素敵でした☆彡]

_ とくめいきぼー [その黒さがたまりませんでした。]


2006-08-15

_ [etc] Hacking Intranet Websites from the Outside "JavaScript malware just got a lot more dangerous"

去年よりもパワーアップしてるじゃん。
スライドとPoCが公開されてました。

本日のツッコミ(全1件) [ツッコミを入れる]

_ Simurgh [私はセキュリティフラ○デーの人だと思われていた(´・ω・`) セキュ しかあってないじゃん( ´ー`)y-~~ ..]


2006-08-17

_ [etc] USEN GyaO

セキュリティキャンプの模様が、本日21:55からGyaOのニュースで放映されるようです。なかなか写真だけだと伝わりにくい雰囲気とかが見えるかもしれないので、是非見てみてください。

追記: アーカイブになってます。視聴はこちらからどうぞ。


2006-08-25

_ [webapp][doc] 星野君のWebアプリほのぼの改造計画 第9回 隠されていたSQLインジェクション

Blind SQL Injection の話。
これって怖いです。公開情報しか含まれないテーブルにSQL Injection があると、機密情報のテーブルにまでアクセスできちゃうんですよねぇ。

過去お仕事でも、個人情報を扱う機能の部分だけ検査してください、とかいう依頼もあるわけで。まずは全頭検査を勧めるんだけど、様々な理由から結局サンプリング検査になり、こっちはこっちで身を守るためにいろいろ条件を明記することになり......健全とは言えないです。
この記事が、全頭検査を選択する理由になってくれることを望みます。

というわけで、Blind SQL Injectionがもっと周知されるよう、ちょっと書いてみました。
脆弱性の解説/Blind SQL Injection
指摘とか間違いとかあれば、教えてください or 直してください(笑)

# で、まこと先輩の正体は誰ですか?


無料アクセス解析