C++ における整数型の怪と "移植性のある" オーバーフローチェッカー (第1回 : 整数型の怪と対策の不足) - Qiita
はじめに 整数型の取り扱い (表現可能な値の範囲を超える "整数オーバーフロー" を防ぐなど) は、セキュリティ上の問題を避けるために、そうでなくとも予期しないバグを避けるために (頻繁に!) 注意しなければならないことだと言えるでしょう。 整数オーバーフローは、特に C/C++ においては深刻な脆弱性の原因になりがちです。昨年界隈を騒がせた Android の Stagefright としてくくられている複数の脆弱性のうち大部分は、この整数オーバーフローが原因となっています。 ただ、C++ における整数型は、実に奇妙です。その奇妙さの結果、C++ において整数オーバーフローを防ぐことは非常に難しいことが……あまり知られていません。というわけで、数回に分けて C++ における整数型 (特に符号付き整数型) の仕様とその奇妙なところ、何故整数オーバーフローチェックが難しいのか、それでもどうや
脆弱性もバグ、だからテストしよう!
脆弱性もバグ、だからテストしよう 継続的セキュリティテストサービスVAddy プレゼン資料Read less
「サニタイズ言うなキャンペーン」私の解釈
高木浩光さんの「サニタイズ言うなキャンペーン」 という言葉自体はずいぶん前から存在したのだが、 続・「サニタイズ言うなキャンペーン」とはにて高木さん自身がいくつも誤解の例を挙げているように、 そしてまた最近も 駄目な技術文書の見分け方 その1にて「まだわからんのかね」と言われているように、 「わかりにくい」概念なんだろうとは思う。 そこで、僭越ながら、「サニタイズ言うなキャンペーン」について、 私なりの解釈を書いてみようと思う。 もっともこれが正解であるという保証はないのだが、 間違っていたらどなたかツッコミいただけることを期待しています(_o_) そもそも何のせいで「エスケープ」しなければならないのか たとえば住所氏名を登録させるWebアプリケーションは珍しいものではないと思う。 そこで、私が「Taro&Jiro's castle サウスポール」 とかいう恥ずかしい名前のマンション(?)
高木浩光@自宅の日記 - ASPとかJSPとかPHPとかERBとか、逆だったらよかったのに
■ プログラミング解説書籍の脆弱性をどうするか 印刷されて流通する書籍に脆弱性がある、つまり掲載されているサンプルコードにズバリ脆弱性があるとか、脆弱性を産みやすいコーディングスタイルを身につけさせている解説があり、それが脆弱なプログラマを生産し続ける根源になっている問題は、「なんとかしないといけないねえ」と以前から言われてきた。 ソフトウェア製品の脆弱性は、指摘があればパッチが提供されたり修正版に差し替えられたりするが、書籍の脆弱性はどうか。正誤表が差し込まれるとか、回収する措置がとられるかというと、それは望めそうにない。言論には言論で対抗すればよいということになるだろうか。 久しぶりにいくつかの書籍について調べてみた。先月園田さんの日記などで比較的評判良く紹介されていた2冊を読んだ。 山本勇, PHP実践のツボ セキュアプログラミング編, 九天社, 2004年6月 GIJOE, PHP
遠隔操作ウイルス開発者のプロファイリング - とあるソフトの開発記録
世の中を騒がせてますね。素人が専門家にぼろ負けしてるという印象です。問題は素人が権力を持っていること? ウイルス自体が手に入ると良いのですが、どこにもないので、警視庁のページを見てみました(PDFのコピー禁止設定とか、情報提供する気あるのかって思う……)。 資料まとめ iesys.exeに対するコマンド これによると、まずiesys.exeに対するコマンドは下記であるとされています。 ファイルのアップロード、ダウンロードなどに関する命令 cd, del, dl, dltext, send キーロガー、画面キャプチャなどに関する命令 framecnt, kloff, klon, scrcap, scrcap_auto, scrcap_auto_stop 掲示板の設定、アクセスに関する命令 newuser, updatesv, bm, nm iesys.exe自身の動作などに関する命令 res
Cでポピュラーな脆弱性とバッファオーバーフロー(前編)
Insecure Interaction Between Components(6 errors) ソフトウェアコンポーネント間のセキュアでないやりとり SQLインジェクションやクロスサイトスクリプティング(XSS)のような類の脆弱性 Porous Defenses(11 errors) 不完全な防御策 認証関連の不備や暗号化機能の不適切な使い方など Risky Resource Management(8 errors) リソース管理の問題 バッファオーバーフローや整数オーバーフロー、書式指定文字列の脆弱性など 1つ目に分類されているSQLインジェクションやXSS(クロスサイトスクリプティング)などは、やりとりされる情報の意味がコンポーネント間で変わることから問題が発生するパターンです。 例えば、入力データからSQL文を組み立てるコンポーネント、そのSQL文を受け取ってデータベースから必要
ウイルス作成罪法案の国会答弁に対する反応
大隊長は中程度の知性を有する焼き鳥です。 @8492Squadron @mia_placidus バグが犯罪というよりか、バグを指摘されて、それを開発者が認識している上で放置かましたら罪になるかもねって話。つまりバグはマッハで直せよオラって事。あいつらマジでプログラムが魔法だと思ってやがるんじゃないかな。
高木浩光@自宅の日記 - ウイルス罪法案、バグ放置が提供罪に該当する事態は「ある」と法務省見解
■ ウイルス罪法案、バグ放置が提供罪に該当する事態は「ある」と法務省見解 いわゆる「ウイルス作成罪」の新設を含む刑法等改正法案の審議が、一昨日から始まっており、今日の午前中には、野党議員からのつっこんだ質疑があり、意外な答弁が出てきた。 第177回国会 衆議院法務委員会 平成23年5月25日 衆議院TV, 会議録 第177回国会 衆議院法務委員会 平成23年5月27日 衆議院TV, (会議録未公表) 特に注目に値するのは、今日の午前中の以下の部分。*1 大口善徳議員:(略)解釈上の疑義等問題点について明らかにしていきたいと思う。コンピュータウイルスについて、刑法168条の2に、1項1号でこのコンピュータウイルスの定義が書いてあるわけですが、「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」と、こういう定義であ
Winux/Lindows |ちょっとどころではなくやばそう。ウイルス作成罪を盛り込んだ刑法改正案が今期国会に提出される
Winux/Lindows Linspire(旧Lindows)とは何の関係もありません おもにLinuxとの格闘記+その他~k本的に人柱・原sk的に体当たり~ HOME / 未分類 / ちょっとどころではなくやばそう。ウイルス作成罪を盛り込んだ刑法改正案が今期国会に提出される ちょっとどころではなくやばそう。ウイルス作成罪を盛り込んだ刑法改正案が今期国会に提出される 2011-01-25 22:21 by tmin Comment : 8 Trackback : 2 コンピュータ監視法学習会tudaりまとめ ここで知ったわけだが。 法案自体は 犯罪の国際化及び組織化並びに情報処理の高度化に対処するための刑法等の一部を改正する法律案要綱 で、件のウイルス作成罪の部分 八 不正指令電磁的記録作成等 1 人の電子計算機における実行の用に供する目的で、イ又はロに掲げる電磁的記録その他の記
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
C/C++セキュアコーディング入門一覧