なんのこっちゃ。これでおしまい。

ﾜﾛｽｗｗｗ ところで Officeさんって誰ですかね。あ、直ってる。

これまでの Fiddler v1.x + RPASpy では、HTTPS のヘッダを見ることしかできなかったが、Fiddler2 では RPASpy なしで HTTPS のデバッグに対応してるっぽい。v1.x との共存も可能。 Fiddler2 HTTP Debugger - FAQ

NetWare 用クライアント サービスの脆弱性により、リモートでコードが実行される (923980) (MS06-066) が、XP Home Edition で何度も自動更新の対象となる現象が発生(当てるごとに正常完了)することがあるそうで。というか、手元の1台がまさにそれなんですけ…

ライトニングトークで「それ Unicode で」という小ネタをやります。5分間なのでどれだけできるかなぁ…。 あと、会場が60名なのに、84名募集だそうなので、少し狭いかも?

NSF2006 の「ForensicsとAnti-Forensicsの攻防」の資料が公開されています。

とりあえずメモ。SSHの公開鍵ファイルのフォーマットがRFC化されたそうで。

ちょっと気になるのでメモ。というか、BINARY HACKS もまだ買ってない orz Write Great Code〈Vol.2〉低いレベルで考え高いレベルで書く作者: Randall Hyde,鵜飼文敏,まつもとゆきひろ,後藤正徳,八重樫剛史,トップスタジオ出版社/メーカー: 毎日コミュニケー…

まっちゃさんところより。Google 検索アプライアンスにクロスサイトスクリプティングの脆弱性があるそうで。検索文字列を UTF-7 で指定した場合に検査が不十分なために %2BADw-SCRIPT%2BAD4-alert(%2BACI-XSS%2BACI-)%2BADw-/SCRIPT%2BAD4-%2BADw-xというよ…

準備中だそうで。よくわかんないのでまたゆっくり見よっと。

試そうと思って放置しているあいだに1.5 にバージョンが上がってた。 Michael Howard's Web Log : Anti-Cross Site Scripting Library v1.5 Now Available Anti-Cross Site Scripting

2006年12月13日13:00〜16:15、80名、無料。

気になる人は、適当にオプションを変更しておきましょう。文書の比較と反映の精度を向上するためのランダムな番号ってのは落とし穴ですね。どうでもよいけど、Microsoft のはすごいHTMLですね。 個人情報や隠し情報を削除する - Word - Microsoft Office Onl…

2006年12月2日(土)、マイクロソフト株式会社本社、無料、40名。 はじめての Windows Vista 講師: やまにょんWindows Vista の RTM を記念して、「Windows Vista の全貌に迫る!」をテーマに、さまざまな角度から見た Windows Vista について紹介していきます…

画像に対するURLがワンタイムなものとなって、一定時間経過後(10分程度)でアクセスできなくなったらしいです。

「yohgaki's blog - httpOnlyをFirefoxで」より。Mozilla Firefox 2.0 以降で、IEのように Cookie の HttpOnly 属性のサポートを実現するアドオンだそうです。いちおう入れてみる。

Hotmail および Windows Live Mail にて、GB2312 を使っておかしな expression を記述することで XSS が可能だったそうです。openmya な記事も載ってるよ!!

公開されました。 http://www.db-security.org/report/dbsc_guideline01_ver1.0.pdf 業界団体がDBセキュリティのガイドラインを公開，「国内初，ビジネス利用も可」：ITpro

ここらへんの話、追加ではなく上書きできるそうです。

https://www.webappsec.jp/modules/bwiki/index.php?XSS%A4%CE%BC%C2%CE%E3 少しだけまとめてみました。 どうでもよいけれど、「JavaScriptの文」と書こうとして変換したら「JavaScriptのbun」になったよ(笑) 間違いじゃないかもしれないけど。

サブミッションポートを使ってメールを送信するための設定資料とともに、SMTP-AUTH について現行の CRAM-MD5 だけでなく PLAIN、LOGIN にも対応したバージョン(バージョン 1.13b)がこっそり公開されています。

script の後ろにゴミを付け加えて、"<script" + XX + ">" のような表記にしてもスクリプトが動作する。XX に指定可能な文字は、IE6 では 0x00、0x09、0x0B、0x0C、0x20、0x2F。Firefox 1.5.0.7 では 0x08、0x09、0x20 となっている。というお話。 もう少し説明すると、IEでは 0</script">…

GREEの画像掲載機能は、掲載した画像がGREE外で見えないことを保障したサービスではございません。掲載した画像のURLを複雑にすることによりGREE外からのアクセスを抑制しておりますが、画像のURLを直接指定することでGREEにログインしなくても画像を表示す…

まっちゃさんところ経由。 Windowsではログオンユーザを表示する場合は、タスクマネージャからユーザという項目を見るしかないようですが、プログラムでこれを実装する手法はないようなんです。全然試す時間がないんですけど、 GetUserObjectInformation Ope…

いつの間にか、検索対象(Type)に Blogs と Comprehensive が追加されてた…。と持ったら、Official Google Blogに書いてあった。日本語版の Google アラート にはまだない。ちなみに、日本語版と英語版では拾ってくる結果が異なりますので、両方のアラートを…

JNSAセキュアシステム開発ガイドライン「Webシステム セキュリティ要求仕様（RFP）」編 β版を見直すためのアンケートだそうです。アンケートに答えると、PDF内のパターン別必須度マトリクスの表部分が Excel 形式でもらえるそうです。

迷惑メール受信時に、Microsoft に解析を依頼したいときには簡単に報告できる、Outlook 2003 に組み込んで利用するツールのようです。

まっちゃさんところで Log Parser な記事を見て思い出したけど、こういうのあったよね。という話。 OpenMya 風 LogParser ことはじめ

とりあえず、「SecuniaがIE7の脆弱性を早くも警告、IE6にも存在する“mhtml:”の脆弱性」で挙げられている CVE-2006-2111 などの mhtml: を利用した脆弱性に対して、サーバ側で防御する手段を見つけました。 とりあえず、サーバから返すHTTPレスポンスのステー…

Black Hat Japan 2006 Briefings の各サマリ。個人的に興味があるのはやっぱり Track1−Session3「国際化されたソフトウェアへの攻撃」 あたりかなぁ。