[動物] * ねこ丼 (YouTube)

---

かわゆいｗ　次回は、もう少し大きなどんぶりを用意してあげてくださいｗ[セキュリティ] * 第12回 Webサイトからの顧客情報流出（後編） (ITPro)

---

ockeghemさんのブクマ経由。 「SELECT」のくだりは、例示のためにわざと単純化したのだろうとは思いますが、それにしても安易すぎですねｗ　ただ、複数のパラメータに分割して送信すると検知を回避できる場合があるのは本当ですね。 （通常、WAF はホワイトリストとブラックリストを組み合わせて使うのですが、もしも仮に、ホワイトリストの設定を行わずにブラックリストだけに頼っているような場合や、SQL に必要な文字種が許可されたパラメータに SQLインジェクションが存在する場合を考えると、例えば、シグネーチャは誤検知を少なくするために、「\Wselect\W.*\Wfrom\W」のようなイメージになっているでしょうから、“addr3=*/from+sysobjects--&addr2=select+name/*&addr1='+union+”のように分割されて送信されるとツライのかも？） （それ以前に、WHERE句に入るならば '+or+'a'='a や '-- だけで問題となる場合も多いでしょうし、条件が TRUE になる式は 'a'='a' の形式以外にも無数に書けますしねｗ）　さらに、それ以外にも、%uXXXX で送信したり、スペースの代わりにタブを使ったり、/**/ をはさんだり・・・様々な検知回避の手法がありますから、WAF は あくまでも修正までの時間稼ぎとして、ツールを使った単純な攻撃から身を守るために使うくらいに思っておいたほうが良いのでしょうね。(^-^;[雑談] * Wiiリモコンで頭の位置を認識する VRシステム (Engadget Japanese)

---

おー！ これはすごい。 「有限と微小のパン」の世界にまた一歩近づいた？！(@_@)[出来事] * イブのStorm一斉攻撃、セクシーなサンタで誘惑 (ITmedia)

---

クリスマスって、なんだっけ〜、なんだっけ〜♪[雑談] * 女性にアプローチする10の必勝方法 (GIGAZINE)

---

「これらすべてを実践すれば相手はあなたのパワーに驚くだろう」とのことｗ[動物] * メリ☆クリ

---

ゆーきさんのところから。 可愛い！！！！！(*^^*)