作者: Bruce.
日時: 2007/8/28(02:22)
Bruce.です。

燃料投下。

nothing but trouble - Port801セキュリティ勉強会の資料
http://d.hatena.ne.jp/send/20070825/p1

より抜粋して。

#  どうセキュリティに取り組むべきか

    * 脆弱性の殆どは、境界で起きる
    * 基本はバリデーションとエスケープ
          o バリデーション
                + そのシステムで予期しているデータのみ受け入れる
          o エスケープ
                + 出力先に応じて適切な出力を送る
                      # 出力先での特殊文字に注意する

#  当然、自システム内での脆弱性の作り込みには注意する

    * Cなんかでは、Buffer Overflowとか作り込みやすいよね

# バッドノウハウ/グッドラッパー

    * 金床さんの文章
    * http://www.jumperz.net/texts/bkgw.htm

# 脅威のカテゴリ

    * Spoofing(なりすまし/偽装)
    * Tampering(データの改ざん)
    * Repudiation(否認)
    * Information disclosure(情報漏洩)
    * Denial of Service(サービス拒否)
    * Elevation of privilege(権限の昇格)

#  その他の脆弱性

    * Null byte Attack
          o バイナリセーフか否か
    * SQL Injection
          o ちゃんとエスケープ
          o Bind機構
    * Email header Injection
          o 改行コード取らないと超踏み台
    * OS Command Injection
          o 自分で調べて><
    * Path Traversal/Directory Traversal
          o 自分で調べて><


先週末当たりからサーバー設定で云々てのが一部話題になってましたね。
まあわしは今は鯖缶やってないのでどーでもいいのですが(笑)

#しかししっかりしてくれ >rimnet
#ただいま復旧データを検査ちう…

P.S.
例の本はまだ入手できておりませぬ。
Amazonさんでぽちっとなするか喃。

-- 
木村浩一
  I thought what I'd do was, I'd pretend I was one of those deaf-mutes.
  mail kbk@...
        web  www.kt.rim.or.jp/~kbk/zakkicho/
             homepage3.nifty.com/farstar/