金融検査マニュアル FISC 金融情報システムセンター JSOXトレンド現在：法令遵守（上記のものを守る必要がある。 過去：ユーザの保護（エンドユーザの保護、企業価値、資産を守る。

kanatokoさんが、「ウェブアプリケーションセキュリティとバッドノウハウ、そしてグッドラッパーの関係」という記事をかかれてます。私のように、にわかセキュリティ屋にとって一つの答えとなるものがあります。開発とセキュリティにおいての3つの役割kanaok…

検査ツール WebScarab ProxMon AppScan試用可能 ブラウザ自動化 MozRepl Chickenfoot iMacros

フィッシングの恐怖 フィッシングの防止方法について Yahooのログインシール仕組みについて 20年後ぐらい先まで有効期限がある。Cookieを使っている。 Yahooのログインシールの可能性 Cookie消したら意身ない。 書くつもり。乞うご期待。

書くつもり。乞うご期待。でもほんとにあったら、先にIPAだね

Webアプリケーションは、今では様々な家電でも動いています。携帯で録画できるHDDレコーダ、エアコン等様々なものがあります。イメージが沸きにくいかもしれませんが、PCのブラウザや携帯のi-mode等で、HDDレコーダの録画予約をしたり、エアコンの温度を設定…

知人がPS3を持っていたので、Jamesさんの ポートスキャンでWiiを調べてみた - Eiji James Yoshidaの記録 を真似てPS3をポートスキャンしてみました。 私、NWのことはとんと分からないので、結果で出た開いてる（そうな）ポートがどうセキュリティリスクにな…

IE７を入れて遊んでいると、https のサイトで見れないサイトが出てきた。どうやら、証明書に問題があるサイトは表示されないようだ。IE６だと警告のポップアップが表示されるのだが、IE７だと画面に下の様なエラー画面が表示される。 この Web サイトで提示…

MSのサイトによると Web ページのスクリプトと他のドメインやウィンドウのコンテンツとの連携を制限します。 この保護機能の強化により、悪意のある Web サイトが他の Web サイトの欠陥を利用したり、ユーザーに不要なコンテンツやソフトウェアをダウンロー…

ハックしちゃってください。→ http://tepppei.com/hackme/お仲間に、この間作ったPHP_WAF（PHPのスクリプト内でセキュリティ対策を行うもの）をどっかに挙げてハックさせろ。と言われ、結構面白そうなので、やってみることにしました。どうせなので、脆弱な…

特徴 PHPで作ったWAFのような動作をするスクリプトです。 ユーザから送られてくる次のパラメータに対して、浄化処理を行い下記の攻撃や問題を防ぎます。 Cross site scripting NULL Byte Attack CRLF Injection もしくは(HTTP Response Splitting) Buffer ov…