カテゴリ: Java

OSC Tokyo プレゼンファイルの公開について - OSC高知以後に

11月 1st, 2009

OSC Tokyo Fallでは多くの方にプレゼンテーションを聞いて頂きありがとうございました。気に入って頂けた方も多かったようで何よりです。何人もの方から「プレゼンファイルは公開するのか？」「プレゼンファイルを公開してほしい」聞いています。もう直ぐ開催するOSC高知で同じプレゼンを行います。ネタばれプレゼンするのも恥ずかしいのでOSC高知の後にプレゼンファイルは公開します。11/14(土) http://www.ospn.jp/osc2009-kochi/四国や近県… more »

投稿された Security, PHP, PostgreSQL, Ruby, Java, Webシステム開発, Perl, Python | 永続的リンク | フィードバックを送信 »

PHPが文字エンコーディング攻撃に強い理由 - HTMLエスケープ

9月 29th, 2009

HTMLエスケープと言えば、Perlの場合、<,>,&,",'をエンティティ変換するコードが一番に見つかります。「perl html escape」でググると一番に見つかったページは次のページです。 http://saboten009.blogspot.com/2008/04/perlhtml-xss.html いつも問題になるのは PHP だけど Perl は問題ないのか、すでに議論し尽くされた問題なのか、PHPer のモラルが低いせいか。いつも問題にな… more »

投稿された Security, PHP, Ruby, Java, Webシステム開発, Perl, Python, JavaScript | 永続的リンク | フィードバックを送信 »

何故かあたり前にならない文字エンコーディングバリデーション

9月 10th, 2009

私が4年前（2005年）に「Webアプリセキュリティ対策入門」を執筆していた時には、既に壊れた文字エンコーディングなどの不正な文字エンコーディングを利用したJavaScriptインジェクションやSQLインジェクション攻撃は比較的広く知られていました。この問題は当時のスラッシュドットジャパンでも取り上げられていました。/.で取り上げられたので、そこら中のWebサイトとユーザが被害に合うのでは？とヒヤヒヤしたので良く覚えています。不正な文字エンコーディングを利用した攻撃は、文字エンコーディングを厳格… more »

投稿された PHP, Ruby, Java, Webシステム開発, Perl, Python, JavaScript | 永続的リンク | フィードバックを送信 »

オープンセミナー2009@岡山

5月 12th, 2009

今年もオープンセミナー2009@岡山を5月30日に岡山県立大で開催します。午前は軽いライトニングトークと勉強会風のセッション、午後はセミナー形式のセッションになります。車で来る事もできるのでお気軽に参加下さい。 http://os2009.okaya.ma/wiki.cgi?page=%B3%AB%BA%C5%B3%B5%CD%D7 more »

投稿された Linux, コンピュータ, Momonga Linux, PostgreSQL, Internet, Ruby, Java, Webシステム開発 | 永続的リンク | 2 フィードバック »

Tomcatの管理者は大忙し?

8月 22nd, 2008

http://www.milw0rm.com/exploits/6229 などはまだいいですが http://www.0x000000.com/?i=630 こういうのは、本当に使ってしまう輩がいそうで怖いです。どうしても直ぐにバージョンアップできない場合、WAFは役に立ちます。今回の場合、 mod rewriteを使用した簡易WAF でも十分です。そう言えば、直ぐに使えるPoCを公開している http://www.0x000000.com/ は簡易WA… more »

投稿された Security, Java, Webシステム開発 | 永続的リンク | フィードバックを送信 »

PostgreSQLカンファレンス2008

6月 3rd, 2008

PostgreSQL???????2008??????(6/6)???????? http://www.postgresql.jp/events/postgresql-conference-2008 ?????????????????????? ???? ??????? ??? ???? 4,000 ? ????????????????? ???? ??? 10,000 ? ???????????????????????????????????????… more »

投稿された Linux, Windows, PHP, PostgreSQL, Ruby, Java, MySQL, SQLite, Webシステム開発, Mac, Perl, Python | 永続的リンク | フィードバックを送信 »

Webアプリスキャナの性能

10月 24th, 2007

NTOSpider, AppScan, WebInspectとメジャーなWebアプリスキャナの性能を比較した方がいるようです。結果のPDFは以下のURLです。 http://ha.ckers.org/files/CoverageOfWebAppScanners.pdf Forty Tracerを使ってスキャン中のコード実行カバレッジを利用してアプリケーションスキャナの性能を評価しています。結論はNTOSpiderがダントツの性能のようです。AppScan、WebInspectは同じ程… more »

投稿された Security, Java, Webシステム開発 | 永続的リンク | フィードバックを送信 »

Javaの脆弱性

10月 10th, 2007

書かない日記なので書きませんがJava（JRE,JDK,SDK）の脆弱性が多数CVEとして公開されています。数日前のアップデートで更新されていると思いますが、WindowsUpdateのついでにJavaもアップデートの確認をした方が良いです。アプレットを使ったリモートからの任意ファイルの読み取り、DNS Rebinding攻撃に対する防御などいろいろアップデートされています。勝手に更新するように設定していたはずのPCでもJavaアップデータのバグか何かで更新ができていないPCもあるのでち… more »

投稿された Security, Java | 永続的リンク | フィードバックを送信 »

JSPWiki?

10月 1st, 2007

JSPWikiの脆弱性がCVEに書いてあったので見てみました。 JSPWiki: http://jspwiki.org/ http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-5121 Cross-site scripting (XSS) vulnerability in JSPWiki 2.5.139-beta allows remote attackers to inject arbitrary web script or HTML via… more »

投稿された Security, Java, Webシステム開発 | 永続的リンク | フィードバックを送信 »

Tomcat 3.3.0 - 3.3.2にクロスサイトスクリプティング脆弱性

8月 8th, 2007

IPAのドキュメントでは大規模開発にはJava, .NETをお勧めしているようですがTomcatのページにはこのような記載も。 Apache Tomcat 3.x and 4.x, we strongly encourage users to use the latest stable version of Apache Tomcat whenever possible. We recognize that upgrading across major version may not be a t… more »

投稿された Security, Java, Webシステム開発 | 永続的リンク | フィードバックを送信 »