2008/09/30(火)火曜日ー。(あたしヤマガタ。みたいな。)
[セキュリティ] * Security Certification To Reduce Application Vulnerabilities
CISSPなどの資格を運営する (ISC)² が、ikepyonさんが喜びそう(笑)な、新しい資格を立ち上げるそうです。 Certified Secure Software Lifecycle Professional (CSSLP) という名称。 日本語だとどういう名称になるんだろう? 「公認安全軟件生命周期専業」かな?(←ありえないw)[雑談] いろいろ。
←おぉ!!
←ホワイトリスト/ブラックリスト吹いたwww
←iPhoneで動くソフトウェアライターw
* このっ、バカ共が! (松浦晋也のL/D)
←神舟7号の宇宙遊泳は捏造ではない
←命中しないと止まらないw
←誰だよw
←最近は指紋が...w
←やっぱり猫の恩返し?w
[セキュリティ] * ASPROX mutant (SANS ISC)
Cookieパラメータに対してSQLインジェクションの攻撃が行われているそうです。 最初、“CookieでSQLインジェクション? セッション管理機能を独自で作りこんでいるサイト狙いなのかな?” とか考えたのですが、そういうことではないらしい。 ASPの場合、「Request.QueryString("p1")」や「Request.Form("p1")」のようにソースを限定した取得をする書き方のほかに、「Request("p1")」のようにソースを限定しない値の取得の書き方が可能で、この場合、Cookieからの値も他と区別せずに取り入れる仕組みになっています。 そのため、もともとはGET/POSTで送信されるはずの値でも、Cookie経由で値を送信することができ、これによってIDS/IPSでの検知回避を狙っているのかも知れませんね。(@_@)
CISSPなどの資格を運営する (ISC)² が、ikepyonさんが喜びそう(笑)な、新しい資格を立ち上げるそうです。 Certified Secure Software Lifecycle Professional (CSSLP) という名称。 日本語だとどういう名称になるんだろう? 「公認安全軟件生命周期専業」かな?(←ありえないw)[雑談] いろいろ。
- ダウンロード: 第02回まっちゃ445勉強会 講演資料 (徳丸さん)
←おぉ!!
- あたし彼女テンプレ (園田さん)
←ホワイトリスト/ブラックリスト吹いたwww
- グーグルのWebブラウザ「Chrome」と404エラー (ITPro)
- Adobeソフトに欠陥、映画の無料ダウンロードが可能に (ITmedia)
- ネット詐欺の被害額は平均4万2000円、IPAが調査 (ITPro)
- 非公開のつもりがプライベート情報ダダ漏れって誰にでもありうるんじゃないか
- SMule: Sonic Lighter (YouTube)
←iPhoneで動くソフトウェアライターw
- 月で使えるかもしれない太陽電池付ケータイ「gem」「voyage」 (GIZMODO)
←神舟7号の宇宙遊泳は捏造ではない
- バンダイから射撃ゲーム型目覚まし時計 (/.jp)
←命中しないと止まらないw
- なんだか見ていて切なくなる北朝鮮のゲームセンター (GIGAZINE)
- SMAPの山中君が脱退だって・・・ (F速VIP)
←誰だよw
- GPSシステムに脆弱性:偽のGPS信号で受信機をだます (WIRED VISION)
- がんばれ!アドミンくん 第142話 IBM PC の呪縛 (@IT)
←最近は指紋が...w
- 残業より始業前、「朝型」のビジネスマンが増加 アサヒ飲料調査 (ITmedia)
- 彼女をなでる (アルファルファモザイク)
←やっぱり猫の恩返し?w
- 魔王「勇者よ…私と付き合ってくれないか?」 (人生VIP職人ブログwww)
- 近所の子が「くらえ!インターネットエクスプローラー!」と叫んでた (カゼタカ)
[セキュリティ] * ASPROX mutant (SANS ISC)
Cookieパラメータに対してSQLインジェクションの攻撃が行われているそうです。 最初、“CookieでSQLインジェクション? セッション管理機能を独自で作りこんでいるサイト狙いなのかな?” とか考えたのですが、そういうことではないらしい。 ASPの場合、「Request.QueryString("p1")」や「Request.Form("p1")」のようにソースを限定した取得をする書き方のほかに、「Request("p1")」のようにソースを限定しない値の取得の書き方が可能で、この場合、Cookieからの値も他と区別せずに取り入れる仕組みになっています。 そのため、もともとはGET/POSTで送信されるはずの値でも、Cookie経由で値を送信することができ、これによってIDS/IPSでの検知回避を狙っているのかも知れませんね。(@_@)