株式会社神戸デジタル・ラボが公表している「セルフチェックかんたん5」がWebアプリケーションセキュリティの一部専門家の間で話題になっている。 mi1kmanさん経由。 神戸デジタル・ラボさんの Webセキュリティ診断の販促ページ。 色々と言いたいことはあり…

前回に引き続き、はじめてのPHPプログラミング 基本編5.3対応のゆるいところの最終回はセキュリティの話題ではなく、データベースの列の型についてだ。 本書のP215には、SQLiteを使って住所録のテーブルを作ろうとあるのだが、テーブルの形式は以下のように…

前回に引き続き、はじめてのPHPプログラミング 基本編5.3対応のゆるいところ第四段は、SQLインジェクションのサンプルについてだ。 本書にはプログラミングの入門書としては珍しくSQLインジェクションの説明がある。それはよいことなのだが、P242の以下の記…

前回に引き続き、はじめてのPHPプログラミング 基本編5.3対応のゆるいところ第三段は、本書に紹介されているミニミニブログにクロスサイト・リクエストフォージェリ(CSRF)脆弱性があるというものだ。 このミニミニブログは、BASIC認証を利用していて、twitte…

前回に引き続き、はじめてのPHPプログラミング 基本編5.3対応のゆるいところ第二段は、文字エンコーディングについてだ。 本書は、文字エンコーディングとしてShift_JISを採用している。しかし、本家から配布されているWindows用バイナリのPHP処理系は、「--…

先日の日記書籍「はじめてのPHPプログラミング基本編5.3対応」にSQLインジェクション脆弱性 - 徳丸浩の日記(2008-10-29)にて、はじめてのPHPプログラミング 基本編―5.3対応を取り上げた際に、『その「ゆるさ」のゆえんはおいおい報告する』と予告していた。…

Google Analyticsより引用参照:食事する哲学者秋ゆえに思索にふけろう、まずは食事する哲学者だ、というわけではなくて、情報系の学部でこの時期に食事する哲学者を講義する、あるいはレポートの提出を求める、あたりですかね。

はてブで250以上のブックマークを得ている以下のエントリ。 PHP アプリケーションを作成する際には、可能な限りセキュアなアプリケーションにするために、次の 7 つの習慣を守る必要があります。 入力を検証する ファイルシステムを保護する データベースを…

yamagataさんの日記経由。MS ASPは、不正なパーセントエンコードされた文字列をデコードする際に、パーセント記号「%」を除去するようです。下表に、ASPでのデコード例と、その他の処理系を代表してPerlのCGIモジュール(CGI.pm)でのデコード例を挙げました。…

第02回まっちゃ４４５勉強会(第02回まっちゃ４４５勉強会 - まっちゃだいふくの日記★とれんどふりーく★)でWAFの話をさせていただきました。講演資料はこちら。 私自身の感想として、あらためて竹迫さん(id:TAKESAKO)は優しい方なのだなという思いを強くしま…

うわさのngg.jsを調べていたらこんな表示のサイトを見かけました。 HTMLソースは以下の通り 宮城県、福島県、山形県、岩手県、秋田県<script src=http://www.XXXXXX.com/ngg.js></script> おそらく、SQLインジェクションによりSCRIPT要素を埋め…

SQLのエスケープと聞いてやってきましたよ。2008-07-10 - T.Teradaの日記から 例えば、「\%foo」から始まる文字列を検索する場合には、どのようなSQL文を書けばよいのでしょうか。 条件は以下の通りです。 1. DBMSソフトはMySQL 2. ESCAPE節は使わない 【中…

Eiji James Yoshidaの記録を参考に、3つのブログのランキングをタイトル毎に並べてみた(2008年6月)。 1位そろそろSQLエスケープに関して一言いっとくか - SQLのエスケープ再考 2位SQLインジェクション対策 - SQLエスケープにおける「\」の取り扱い 3位4月か…

既に色々な方が紹介いただいていますが、、WASForum Conference 2008の7/5 Developers DAY - 事件は現場で起こっている……セキュリティライフサイクルとマルプラクティスにて、「SQLインジェクション対策再考」のタイトルで講演させていただくことになりまし…

会社のブログを立ち上げましたので、徳丸のブログは三種類になりました。www.tokumaru.org:純技術的なセキュリティの内容が中心になります。 www.hash-c.co.jp:Webアプリケーションの開発にまつわる発注や開発プロセスの話題を中心にします。会社のブログで…

えーっと、なんて言うのでしたっけ? (^^; 問題は、会社のホームページに早くこれができないといけないのだけど・・・ まぁ、ボチボチやっていきます。

ハテブの方で独立・起業系のコンテンツを時々チェックしていたため、「もしかして独立するの?」という反応を一部よりいただいておりました。京セラコミュニケーションシステム(KCCS)を辞めるわけではありませんが、3月をもってフルタイムの社員から、少し勤…

これはホテルの窓から見えるホテル川久の写真。 ここに泊まっているわけではないよ

長女（小1）の最新作です。

某SIerの入っているビルで。 馬鹿なこと書いているなぁと一瞬は思ったのですが、おそらくこの会社では徹夜明けなのでトイレで調髪する人が少なからずいるんでしょうね。 そのことに気づき、胸を突かれるような思いがしました 追記(2008/3/23) id:kazuhookuさ…

ITProの記事が契機となって、PCIDSS（PCIデータセキュリティ規準）およびパスワードに関する規定が話題となっている*1。「パスワードは90日ごとの変更」が義務づけられる！？ | 日経 xTECH（クロステック） それに対して，PCIDSSは表現が具体的である。現在…

この前の日記わーい ＼（＾o＾）／ PL/0を JS で書いたよー！ - ockeghem(徳丸浩)の日記で、JavaScript記述のPL/0を紹介したが、その開発過程を少し紹介してみたいと思う。 私の開発スタイルはどういうネーミングをしたらよいのか分からないが、ここ20年くら…

最近、JavaScriptで小さな処理系を書くのが流行っているらしい。 45歳を過ぎた私もやってみたいと思い、昔とった杵柄で、PL/0の処理系をJavaScriptで書いてみた。こちらをどうぞ。amachangみたいに4時間というわけにはいかなくて、動き出すには6時間くらい(…

ITproにWebメール狙うサイド・ジャッキング | 日経 xTECH（クロステック）と言う記事が。 7月末に米国・ラスベガスで開催されたセキュリティ・カンファレンス「BlackHat USA2007」で，無線LAN越しにWebメールのセッションをハイジャックするデモが行われた。…

こちらは色鉛筆で書いた絵です。ほとんど加工していません。

うさちゃんだそうです。 スキャナで読んで、ノイズ除去程度の加工をしました。