2015年04月07日

2015年04月02日

test ... test ... test ...

どこに脆弱性テストを入れるべきか?

  単体?
  結合?
  総合?
posted by zengaichi at 22:25| Comment(0) | TrackBack(0) | 独り言 | 更新情報をチェックする

2015年03月23日

修正案を例示しすぎると?

検討しなくなるらしい?

 怠けるという法則からは逃れない?

posted by zengaichi at 19:16| Comment(0) | TrackBack(0) | 独り言 | 更新情報をチェックする

指摘しすぎると?

指摘しすぎると

他の点については注意しなくなるらしい?
posted by zengaichi at 19:13| Comment(0) | TrackBack(0) | 独り言 | 更新情報をチェックする

2015年03月13日

読み漁り中(=_=;

いろいろ本を読み漁り中

 でも、書いてあることは同じ?
posted by zengaichi at 20:32| Comment(0) | TrackBack(0) | 独り言 | 更新情報をチェックする

2015年03月11日

ふっと、リコンパイル必要か(゜゜?

インクルードのテンプレートのパフォーマンスが改善していたとしたら

リコンパイル?
posted by zengaichi at 22:44| Comment(0) | TrackBack(0) | 独り言 | 更新情報をチェックする

2015年03月10日

検知できないなら予防?

検知できないなら予防?
posted by zengaichi at 19:42| Comment(0) | TrackBack(0) | 独り言 | 更新情報をチェックする

2015年03月08日

そもそも基本設計に脆弱性?

そもそも基本設計の段階で脆弱性を作りこんでしまったらしい?

キーの要件の確認不足ぽい
posted by zengaichi at 17:46| Comment(0) | TrackBack(0) | 独り言 | 更新情報をチェックする

2015年02月26日

手でサニタイジング?

おっとサンプルコードでXSSが発動してまった(汗)
posted by zengaichi at 20:53| Comment(0) | TrackBack(0) | 独り言 | 更新情報をチェックする

意味がなくなるサニタイジングのコーディング?


htmlspecialchars関数にセットする文字列にUTF-8のcharsetで\xf0から\xffまでの値を空文字を返す仕様のようで下のコードでは空文字を返す。


<?php
$new = htmlspecialchars("<script>alert(1);</script>\xff", ENT_QUOTES);
echo $new;;
?>


問題は仕様と知らずに空文字がエラーと思って設定前の文字列を使ってしまうとせっかくの対策が…
(PHP 5.4.37)
posted by zengaichi at 20:42| Comment(0) | TrackBack(0) | 独り言 | 更新情報をチェックする

2015年02月21日

GCD on freebsd 10

前も試した記憶が…(。・ω・。)

clang -fblocks -o gcd_sample gcd_sample.c -lBlocksRuntime

sample code:(gcd_sample.c)

#include <stdio.h>

int main(int argc, char * argv[])
{
void (^say_hello)(void) = ^(void) {
printf("hello, world\n");
};

say_hello();

return 0;
}

posted by zengaichi at 15:50| Comment(0) | TrackBack(0) | Unix-Tools | 更新情報をチェックする

2015年02月17日

ケーブルが切れた(⌒⌒?

「某外環道路の工事でケーブルが切れた」という記事を見つけて

 思わず通信ログを探してみる

  はずれ!
posted by zengaichi at 19:55| Comment(0) | TrackBack(0) | 独り言 | 更新情報をチェックする

2015年02月10日

元を正せば些細なミスが多いもの?

大げさな話も
よくよく話してみると些細なミスが多いかも?
posted by zengaichi at 22:09| Comment(0) | TrackBack(0) | 独り言 | 更新情報をチェックする

2015年02月06日

64ビット版clang-clでコンパイルしてみた:その3

32bitにクロスコンパイルできることを確認した。
ソースコードはその1と同じ


clang-cl --target=i686-pc-windows-msvc hello.c


確認はその1と同様にdumpbinで確認
posted by zengaichi at 18:56| Comment(0) | TrackBack(0) | Unix-Tools | 更新情報をチェックする

64ビット版clang-clでコンパイルしてみた:その2


ソースコードは次の通り(sample.cpp)で、PATH、LIB、INCLUDEを適切設定してコンパイルしてみた。
同様にdumpbinで確認
これでとりあえずclang-clで64ビットアプリケーションが作れることを確認終了


#include <windows.h>
#include <stdio.h>

LRESULT WndProc(HWND hWnd, UINT uMsg, WPARAM wParam, LPARAM lParam)
{
switch(uMsg) {
case WM_PAINT:
{
HDC hDC = ::GetDC(hWnd);
::TextOut(hDC, 0, 0, "test", 4);
::ReleaseDC(hWnd, hDC);
}
return 0;

case WM_DESTROY:
PostQuitMessage(0);
return 0;
}
return ::DefWindowProc(hWnd, uMsg, wParam, lParam);
}

int WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow)
{
WNDCLASSEX wc;
::ZeroMemory(&wc, sizeof(wc));
wc.cbSize = sizeof(wc);

wc.hInstance = hInstance;
wc.lpfnWndProc = &WndProc;
wc.style = CS_HREDRAW | CS_VREDRAW;
wc.cbClsExtra = 0;
wc.cbWndExtra = 0;
wc.hIcon = NULL;
wc.hIconSm = NULL;
wc.hCursor = ::LoadCursor(NULL, IDC_ARROW);
wc.hbrBackground = (HBRUSH)::GetStockObject(BLACK_BRUSH);
wc.lpszMenuName = NULL;
wc.lpszClassName = "test";

::RegisterClassEx(&wc);
HWND hWnd = ::CreateWindowEx(0, wc.lpszClassName, wc.lpszClassName,
WS_BORDER | WS_CAPTION | WS_SYSMENU | WS_MINIMIZEBOX,
100,100, 200, 200, NULL, NULL, hInstance, NULL);

::ShowWindow(hWnd, SW_SHOWNORMAL);

while(true) {
MSG msg;
LRESULT r = ::GetMessage(&msg, NULL, 0, 0);
if((r == 0) || (r == -1)) {
return 1;
} else {
::TranslateMessage(&msg);
::DispatchMessage(&msg);
}
}
return 0;
}

posted by zengaichi at 18:01| Comment(0) | TrackBack(0) | Unix-Tools | 更新情報をチェックする

64ビット版clang-clでコンパイルしてみた:その1

本当に64ビットのコードを吐くのかという検証をしてみた。
定番のコードhello.c


#include <stdio.h>

int main(int argc, char *argv[])
{
printf("Hello!\n");
return 0;
}


コンパイル(PATHとLIBは適切に設定)

clang-cl hello.c

dumpbin /headers hello.exeで調べると確かに

Microsoft (R) COFF/PE Dumper Version 12.00.31101.0
Copyright (C) Microsoft Corporation. All rights reserved.


Dump of file hello.exe

PE signature found

File Type: EXECUTABLE IMAGE

FILE HEADER VALUES
8664 machine (x64)
5 number of sections
54D46D6C time date stamp Fri Feb 06 16:29:48 2015
0 file pointer to symbol table
0 number of symbols
F0 size of optional header
22 characteristics
Executable
Application can handle large (>2GB) addresses

posted by zengaichi at 17:50| Comment(0) | TrackBack(0) | Unix-Tools | 更新情報をチェックする

VS2013でclang(LLVM-3.5.0)を64ビットにコンパイルしてみた

必要なツールはもちろんMicrosoft Visual Studio 2013で以下のツールも必要
・cmake
・python
LLVMとClangソースコードは本家からダウンロードし7-Zipで解凍
下記のフォルダ構成に展開
 llvm-3.5.0フォルダを作り
 llvmへ名前に変えたllvmのソースを配置
 llvmの下のフォルダtoolsに
 clangへ名前に変えたclangのソースを配置
 llvm-3.5.0にフォルダbuildを作成

フォルダ構成

C:\llvm-3.5.0 -+- llvm -+- tools -+-
| |
+- build +-clang

フォルダbuildでcmakeを実行

cmake -G "Visual Studio 12 Win64" ../llvm

LLVM.slnがbuildに作成されるのでそれをクリックしてVSを開き
ALL_BUILDでビルド

続きを読む
posted by zengaichi at 17:40| Comment(0) | TrackBack(0) | Unix-Tools | 更新情報をチェックする

インフルエンザA型に感染?

社内規定によりお休み~!

感染したPCを切り離すのと同じ原理ですねヾ( ̄0 ̄;
posted by zengaichi at 13:20| Comment(2) | TrackBack(0) | 独り言 | 更新情報をチェックする

2015年01月29日

チェックできないチェックリストは価値なし?

チェックできないチェックリストにそもそも価値はなし

posted by zengaichi at 21:22| Comment(2) | TrackBack(0) | 独り言 | 更新情報をチェックする

2015年01月22日

CSRFの探し方のコツらしきもの

POSTがだめならGET

posted by zengaichi at 20:11| Comment(0) | TrackBack(0) | 独り言 | 更新情報をチェックする