2008-12-01から1ヶ月間の記事一覧

自作検査ツール - ディレクトリトラバーサル編

ディレクトリトラバーサルは、比較的発見が容易な脆弱性です。検査文字列を検討する際にポイントとなるのは、どのファイルを見に行くか、NULL文字を入れるか、くらいではないかと思います。 UNIX系OS用のシグネチャ UNIX用のシグネチャは1パターンしか用意し…

自作検査ツール - OSコマンドインジェクション編

OSコマンドインジェクションを許す欠陥を持つアプリケーションは非常に少ないです。最近のアプリケーションは特に、メールを送信するために直接sendmailコマンドを叩くようなことをしなくなってきており、欠陥を持つアプリは殆ど見られなくなっています。ま…

趣味の検査ツール作成

ここのところ日記も書かずにいましたが、実は自前のWebアプリケーションの検査ツールを作るのに没頭していました。作ったツールの特徴をいくつか挙げると、 手動検査の補助ツールの位置付け ツール自体がWebアプリ(PHPで8KL以下の分量) 主にインジェクショ…