2006-07-01から1ヶ月間の記事一覧

Google Code

Google による、オープンソース支援のための SourceForge のような環境、なのかな。 - http://code.google.com/faq.html - What is code.google.com? Code.google.com is our site for external developers interested in Google-related development. It’s …

ITpro Special : アプリケーション開発から始まるセキュリティ対策

「開発者が取り組むべき初めの一歩」。Fiddler を使おう、というあたりがさすがだと思いました。

拡張子一覧要望: よく競合しないものだと思う − 河端善博の .TEXT でウェブログ

実際、競合してるし。 拡張子MAGの画像形式とMicrosoft Accessの致命的バッティング問題 とりあえずレジストリを確認しやすくするためのスクリプトを書いてみました。 レジストリの拡張子の関連付け情報を読み取り、指定された拡張子(または関連付けられてい…

Bugle - Google Source Code Bug Finder

mixi経由。おもしろい。

JPCERT/CC関連

2006年度事業計画方針および2005年度活動報告(プレス発表資料(PDF)) ボットネット研究資料 -ボットネット概要

XSS模擬アタック出題編

「背景は黒で字は白く」という条件以外はいちおう満たしてるつもり。以下、部分的にネタばれの可能性ありなので注意。 302 の Location によるリダイレクタでの XSS ということで、一瞬 Responce Splitting かと思ったのですが、hoshikuzu さんらしくない。…

(;´Д`)

20日の編集してたはずなのに、いつの間にか19日の記事を編集してたよ…。19日の文章消えちゃった orz

[Life Hacks]メモ帳(Notepad)によるChangeLog

この「.LOG」と書いておくと、ファイルを開くたびに日付が挿入される機能は、(略)Windows 98SEから搭載されているようだ。 手元の Windows 95 (4.00.950a) で確認したところ、.LOG による日付入力はしっかりと機能しましたし、ヘルプにもちゃんと記載されて…

Unicode Character Database 5.0 Released

出ました。

いろいろ

Software Design×はてな - はてなダイアリーで Software Design のブログが開始 GIGAZINE - はてながmixiを買収して東証一部に上場! gigazine.net - 笑った。 【特集】CSS実装徹底検証! そこが知りたいInternet Explorer 7 (MYCOMジャーナル) - あとで読む。

XSS脆弱性修正に失敗してしまった駄目な例

<input type=hidden name=foo value='$USEROUTPUT'>この状態で、「'」をエスケープしていないというのは信じられないですね。以下、勝手に捕捉。 同様にしてstyle属性の追加をされてもhiddenな項目には効果がありません。 というのは担当者の我流であるがゆえの誤りでしょう。少なくとも IE であれば、以下の…

どこに行った?

[]C:\>echo>\\?\c:\:.txt[][]C:\>type \\?\c:\:.txt[] []ファイル名、ディレクトリ名、またはボリューム ラベルの構文が間違っています。[]C:\>

NTFS代替データストリームはディレクトリにも作成できる

↓の続き。 []C:\>mkdir foo[] []C:\>echo>foo:test.txt[][]C:\>type foo:test.txt[] []ファイル名、ディレクトリ名、またはボリューム ラベルの構文が間違っています。[][]C:\>cd foo[] []C:\foo>type .\:test.txt[] []ファイル名、ディレクトリ名、またはボ…

仮想化ソフト、あいついで無料化

VMware Server(正式版) http://www.vmware.com/products/server/ …β版と同じく、ホストOSとして Windows XP は未対応の模様。 Microsoft Virtual PC 2004 http://www.microsoft.com/windows/virtualpc/default.mspx

「 Microsoft(R) On−出張ワークショップ 最新技術を学ぶ 」専任エバンジェリスト10名が年間 1,000回を目標に実施

ユーザー企業、パートナー企業、コミュニティに無償で出張してワークショップを開催してくれるそうです。 Microsoft On - 出張ワークショップ 最新技術を学ぶ

DHTML / JavaScript によるイベント

onload とか onclick とかのイベントハンドラの種類ってどれくらいあるんだろうと思って <script> function EnumEvent( t ){ document.write( '<b>' + t.nodeName + '</b><br>' ); for( var i in t ){ if( i.substring( 0, 2 ) == 'on' ){ document.write( i ); // document.wri…

[arcdev:02289] ZIP32J.DLL :"全角文字+["の扱い

このページを経由してからでないと、要ログインとなり見れない。 [arcdev:02291] Re: ZIP32J.DLL :"全角文字+["の扱い も参照。 zip32.dll のバグで、マルチバイト文字が含まれる場合に正規表現がうまく動作しないため、必要以上のファイルがアーカイブ内に…

Sysinternals いろいろ

//www.sysinternals.com/Utilities/PsExec.html">PsExec v1.74:You can launch windows on the Winlogon desktop with the new PsExec -x switch. //www.sysinternals.com/Utilities/ProcessExplorer.html">Process Explorer v10.2:This release targets Win…

IE7 Beta 3 日本語版

[openmya:034966] IE7 Beta3 日本語版 (Was: IE7 Beta2 より。 IE7 Beta 3 の日本語版が出たようです。こちらのページはまだベータ2のままですね。

ソーシャルブックマーク横断:Mix Clips(ミックスクリップス)

RSS を吐いてなかったら魅力ゼロに等しいなぁ。

Microsoft Private Folder 1.0 − Microsoft

【レビュー】手軽に"ないしょのフォルダ"を実現 - Microsoft Private Folder (MYCOMジャーナル) 「もし自分が突然死したら、あんなファイルやこんなファイルを見られるのは死んでもイヤだ」と矛盾した悩みを抱える男性読者は少なくないはず。 という紹介が笑…

HTMLタグを許可するWebアプリケーションでの検査

イベントハンドラ等でのスクリプトを禁止するために、"javascript" や "vbscript" のような、ブラックリストに合致する文字列が含まれているかどうかを検査する方法では、XSS は防げません。 例えば <div onclick="javascript:alert('xss')">aa</div>という典型的な XSS パターンに対し、"javascript" とい…

Internet Explorer 7.0 Beta 3 ではスクリプト発動条件が厳しくなってる!?

IE7 Beta 3(英語版)をいろいろテストしていて気付いたのですが、IE6 に比べてスクリプトが発動する条件が厳しくなっている…というよりは、理不尽なスクリプトの発動条件が減っている…ようです。例えば、<script>タグを使わずにスクリプトを埋め込む典型的な方法とし…

なんでもタブ化

エクスプローラによるフォルダの表示 ITmedia Biz.ID:フォルダを「タブ化」して、ファイル移動の達人になる コマンドプロンプト SourceForge.net: ConsoleConsole: Tabbed command prompt for Windows - Download Squad

IPAから。あとで読む。

「ITスキル標準V2(バージョン2) 研修ロードマップ」の公表について プロフェッショナルコミュニティによるITスキル標準の改善提案等各種報告書の発表

How to Bypass BIOS Passwords

うはぁ。kinnekoさん経由。

Google の XSS が修正完了

ha.ckers.org web application security lab - Archive » Cross Site Scripting Vulnerability in Google で挙げられていた XSS が修正されたようです。実際に、PoC も動かなくなってます。 グーグル、Google Readerのセキュリティ脆弱性を修正 - CNET Japan…

Google パック

Googleによるソフトウェア詰め合わせである Google Pack の日本語版。英語版と比べると Google Earth / Google Pack Screensaver / Ad-Aware SE Personal / Google Talk / Google Video Player あたりが入っていない。

セキュリティ・スペシャリスト座談会

MS古川さん×園田さん×ラック新井さんの対談。6月の記事。出てるの気付きませんでした。 先日,衝撃的だったのは,「セキュリティのぜい弱性があります」と伝えたら「間に合ってます」と言われてしまいました。(笑) 間に合っていないから伝えているのに,消…

ウイルスバスターのここが嫌い

PC立ち上げて作業してると、いきなり最前面にウィンドウを表示させて更新を始める。問答無用に作業を中断させられるので、かなり感じ悪い。しかもフォーカスは「キャンセル」ボタンにあるので、弾みでスペースとかEnterとかを押してしまうと更新は止まってし…