テストを利用したWAF
ソフトウェアテスト用のコードを利用したWAFの構築
ってのを寝る前に妄想したけど微妙かな……。
テスト用のコードから、そこに入るっぽい文字列を推定して、それとは違うパターン(name=hoge でテストしてたら name=<script>みたいな物)を記録する感じ。
Rails テストでググって出てきたコードが何かFWっぽかったから閃いた。
そもそもテストに沿ったWAFじゃあんま意味無い?
というかテストをそんなんに使うなという話?
変なリクエストをはねる事を目的とせず、記録してどんな攻撃が着てるか眺めてニヤニヤする程度の物として考えれば作ってみても面白そうかな、とか思ったんですが、多分三歩歩いたら忘れてると思うので書いておきました。
TERMには辛そうだから結局ボツネタ行きかなぁ。
セプキャンフォーラム
フォーラムに行ってみて、改めてアウトプットしなきゃなぁ、と思う事が幾つかあったので始めてみました。
けど、殆どツイッターで呟いちゃってるから、こっちはまとまった研究の話とかが中心になる予定です。
で、話はフォーラムへ。
セキュキャンの皆に会える!!!!
て事で速攻ポチって行ってみたけどかなり楽しかったです。あとAPA飯も。こっちは酔ったノリでポチったけど、参加して良かったなと思います。結構刺激になりました(色んな意味で)
フォーラムでは、”無効化されないことを目指すセキュリティ機構の開発”って話が、WIP(大学でやる半期研究)でクソみたいなツール実装してた僕には結構きました。
質疑応答で「で、誰が使うの?」とか突っ込まれたら炎上確定みたいな綱渡りな発表をした後でしたしw
具体的な話は断片的にしか分かりませんが、アクセス制御を実装したけど使わないし、ユーザに余計な手間かけさせないようにしないとね、みたいな話だったと思っています。 セキュリティ機構はCIだけじゃなくAも重要だよ、みたいな。
今度の研究では評価つきのTERMに移行したいと思ってるので、この辺も少し考えなきゃなぁ……。
LTは脆弱性の話の質疑応答が面白かったですね。詳しい事は言えませんが。あと法律のも面白かったですね。
キャンパーは皆情報系かと思ってたけど、案外経済とか法律とか居て驚きました。
どっちも興味はあるんだけどなぁ……。
てか、Shibuya.XSSにスカウトとかnkysさん流石です。頑張って下さい!
http://developer.cybozu.co.jp/takesako/2013/02/securitydays.html
とりあえず初回はこんな感じで。