アプリケーション開発者がセキュリティ対策を行うべき部分とはどこか?当たり前ですがアプリケーションです。アプリケーションとは広い意味でのアプリケーションです。Webアプリの場合もあれば、ライブラリやモジュールであったり、フレームワークであったり、言語やサーバの場合もあります。すべてのアプリケーション...
|
トークンの確認があるべきいわゆるCSRF対策。サービスにログインした状態のユーザーを退会フォームにPOSTするような罠を仕込んだページに誘導するだけで退会出来てしまうから退会ページでJavaScriptでconfirm出して「本当によろしいですか?」とか確認してもフォーム直接POSTしてしまえば意... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
川口 洋 株式会社ラック JSOCチーフエバンジェリスト兼セキュリティアナリスト CISSP 2009/9/15 ■川口、全国を飛び回ってます。皆さんこんにちは、川口です。先日、私は島根に出張をしていました。せっかく島根という地に行くのですから各地の方と交流したいと思い、山陰ITPro勉強会(通称... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
私が5年前(2004年)に「Webアプリセキュリティ対策入門」を執筆していた時には、既に壊れた文字エンコーディングなどの不正な文字エンコーディングを利用したJavaScriptインジェクションやSQLインジェクション攻撃は比較的広く知られていました。この問題は当時のスラッシュドットジャパンでも取り... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
何故かあたり前にならない文字エンコーディングバリデーションってあるように、いまいち文字コードの不正な判定による危険性ってのが分かってない。SJISの問題は、第5回■注目される文字コードのセキュリティ問題 - SQLインジェクションを根絶!セキュア開発の極意:ITproの記事がわかりやすかった。とい... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
ニュースphpMyAdminのエクスプロイトが出現、パッチ適用の確認をphpMyAdminの既知の脆弱性を突いたエクスプロイトが出回っている。2009年06月25日 09時16分 更新SANS Internet Storm Centerは6月24日、データベースのMySQLをWebブラウザで管理す... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
これまで2回にわたってWebアプリケーションにおける入力値検証とセキュリティ対策の関係を説明してきた。入力値検証はセキュリティ上の根本的対策ではないが,保険的な対策として効果が期待でき,特に制御コードや不正な文字エンコーディングによる攻撃対策には有効であることを説明した。今回は,Webアプリケーシ... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
前回,入力値検証をセキュリティ対策として実施すべき理由を説明する中で制御文字や不正な文字エンコーディングの問題を指摘した。今回は,その具体例として「ヌルバイト攻撃」と「冗長なUTF-8によるディレクトリ・トラバーサル」を説明する。制御文字悪用の代表格「ヌルバイト攻撃」ヌルバイト攻撃とは,ASCII... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
セキュリティ | ちょっとSQL Injectionについて未だに情報が少ないのにいらついていたので。というか対策ばっかりで何ができますよーってのはほとんどログインできますよーくらいじゃねえか。具体的な攻撃方法もわからずにぼんやり対策してるだけの人多いような気がするのでちょっと攻撃方法書いとく。 ... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
やぁ、みんな,元気?とくまるひろしです。今日はSession Fixation攻撃の方法をこっそり教えちゃうよ。 いつもは防御側で漢字の名前でやってるんだけど,きょうは攻撃側ということで,名乗りもひらがなに変えたんだ。だってさ,今度デブサミでご一緒するはせがわようすけさんとか,はまちちゃんとか,ひ... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
第3回■ぜい弱性対策の考え方 -- 「保証なし」が原則のオープンソースは運用体制が超重要OSやミドルウエア選定のポイント(2)記事一覧へ >>Webアプリケーションのセキュリティを考えるうえで,まずOSやミドルウエアといった基盤ソフトウエアをセキュアな状態にすることが重要であることは,前回述べた。... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
PHPで開発をすることが多くなりPerlの良さを再確認している今日この頃ですが皆さんいかがお過ごしでしょうか。
さて、今日は今もっともナウいPHPのWebアプリケーションフレームワークであるCakePHPのお話を一つ。
CakePHPには組み込みコンポーネントとしてリクエストハンドラ(Reques... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
■ プログラミング解説書籍の脆弱性をどうするか 印刷されて流通する書籍に脆弱性がある、つまり掲載されているサンプルコードにズバリ脆弱性があるとか、脆弱性を産みやすいコーディングスタイルを身につけさせている解説があり、それが脆弱なプログラマを生産し続ける根源になっている問題は、「なんとかしないといけ... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
■ プログラミング解説書籍の脆弱性をどうするか 印刷されて流通する書籍に脆弱性がある、つまり掲載されているサンプルコードにズバリ脆弱性があるとか、脆弱性を産みやすいコーディングスタイルを身につけさせている解説があり、それが脆弱なプログラマを生産し続ける根源になっている問題は、「なんとかしないといけ... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
本日起こった、ethna.jp や、jp2.php.net のサイトに、ActiveX や Flash の脆弱性をついた攻撃をする html を読み込む iframeを差し込まれるというトラブルが発生しました。ちょっとかかわったので、流れを記録として残しておこうと思います。 ethna.jpの第一... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
ここで、「'No.' や '題名:' や '名前:' や '日時:' の定数文字列まで htmlspecialchars に通すなんて無駄じゃないか」などということを考えては いけない。いまどき、そんな貧民的プログラミング思考をするのは プログラム職人として恥ずかしいことだ。 元々、HTMLを出力... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
にて、バーチャルホストにおけるクッキーハイジャックの脆弱性が報告されています。共用サーバーであれば、他のWebアプリケーションのクッキー情報を取り出すことができるため、特に被害を受ける可能性が高くなるでしょう。 以下のPHPスクリプトを実行することで、同じホストに設置されてているWebアプリケーシ... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
FirewallScriptはソフトウェア・ベースのセキュリティー・サービスをローンチした。このソフトはPHP5さえサポートしていればどんなサーバーでも、共有ホストのサーバーでさえも作動する。ファイアウォールとしての機能は、人気のあるオープンソースのファイアウォールModSecurityによく似て... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
誤解を招く記事 - LAMPセキュリティを強化する4つの方法で紹介した記事ように、最近「言語を替えるとセキュリティが向上する」といった間違った認識が広まりつつあるように思えます。結論からいうと、セキュリティに関連する機能が同等な言語であれば「言語を替えるとセキュリティが向上するいう考え」は妄想です... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
ここで、「'No.' や '題名:' や '名前:' や '日時:' の定数文字列まで htmlspecialchars に通すなんて無駄じゃないか」などということを考えては いけない。いまどき、そんな貧民的プログラミング思考をするのは プログラム職人として恥ずかしいことだ。 元々、HTMLを出力... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
| |
