タグ

関連タグで絞り込む (2)

タグの絞り込みを解除

securityとprogrammingに関するwittのブックマーク (13)

  • おさかなラボ - 携帯電話からセッションIDの漏洩を防ぐ

    携帯電話向けWebアプリの脆弱性事情はどうなっているのか@高木浩光@自宅の日記 より リンク先のWebサイトには、Refererと共に端末IDもリクエストヘッダとして送信されているわけで、セッションID入りURLと端末IDがセットで流出するのだから、当然、同じHTTPリクエストを送るだけの方法でなりすましアクセスされてしまう。 URIにセッションIDを含める方法では、悪意のあるサイトにリンクを張るだけでRefererヘッダからセッションIDが取り放題となる。また、悪意のあるサイトにアクセスしたユーザーは端末IDもHTTPヘッダに含めそのサイトに送信してしまう。端末IDは簡単に詐称することが出来るので、端末IDをチェックしてもセッションハイジャックの防止線にはならない、というお話。 私は携帯端末は専門ではないので細かいことは良くわからないのだが、以下を前提にして、携帯電話からセッション

  • 「サニタイズ言うなキャンペーン」私の解釈

    高木浩光さんの「サニタイズ言うなキャンペーン」 という言葉自体はずいぶん前から存在したのだが、 続・「サニタイズ言うなキャンペーン」とはにて高木さん自身がいくつも誤解の例を挙げているように、 そしてまた最近も 駄目な技術文書の見分け方 その1にて「まだわからんのかね」と言われているように、 「わかりにくい」概念なんだろうとは思う。 そこで、僭越ながら、「サニタイズ言うなキャンペーン」について、 私なりの解釈を書いてみようと思う。 もっともこれが正解であるという保証はないのだが、 間違っていたらどなたかツッコミいただけることを期待しています(_o_) そもそも何のせいで「エスケープ」しなければならないのか たとえば住所氏名を登録させるWebアプリケーションは珍しいものではないと思う。 そこで、私が「Taro&Jiro's castle サウスポール」 とかいう恥ずかしい名前のマンション(?)

  • IPAが「安全なWebサイトの作り方」改訂版を公開,CSRFの解説などを追加

    情報処理推進機構(IPA)は11月1日,安全なWebサイトを構築・運用するためのポイントをまとめたドキュメント「安全なウェブサイトの作り方」の改訂版(改訂第2版)を公開した。改訂版ではクロスサイト・リクエスト・フォージェリ(CSRF)の解説などを追加した。 同ドキュメントの第1版は2006年1月末に公開された。ドキュメントでは,IPAへの届け出件数が多かった脆弱性や,攻撃を受けた場合の影響が大きい脆弱性を取り上げ,それらを作りこまない実装方法や影響を軽減できる実装方法を具体的に紹介している。 改訂版では,第1版で取り上げた「SQLインジェクション」「OSコマンド・インジェクション」「ディレクトリ・トラバーサル」「セッション管理の不備」「クロスサイト・スクリプティング」「メールの第三者中継」に加えて,「CSRF(Cross-Site Request Forgeries)」と「HTTPヘッダー

    IPAが「安全なWebサイトの作り方」改訂版を公開,CSRFの解説などを追加

  • 今夜分かるSQLインジェクション対策 ― @IT

    【関連記事】 内容についてのアップデート記事を公開しています。あわせてご確認ください(編集部) Security&Trustウォッチ(60) 今夜こそわかる安全なSQLの呼び出し方 ~ 高木浩光氏に聞いてみた http://www.atmarkit.co.jp/fsecurity/column/ueno/60.html Webアプリケーションに対する攻撃手法の1つであるSQLインジェクションの存在は、かなり広く知られるようになった。しかし、その対策はまだ当に理解されていないように思える。フォームから渡された値の特殊文字をエスケープしたり、PHPのmagic_quotes_gpcといった自動エスケープ機能をオンにするだけで対策したつもりになっていないだろうか。 基はもちろん、セカンドオーダーSQLインジェクションやマルチバイト文字を利用したSQLインジェクションの攻撃パターンや、その対

    今夜分かるSQLインジェクション対策 ― @IT

  • @IT:Webアプリケーションファイアウォール

    Webアプリケーションファイアウォールによる防御:Webアプリケーションに潜むセキュリティホール(11)(1/2 ページ) ※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 前回は、アプリケーション開発において、セキュリティを向上させる方法について説明した。今回は、Webアプリケーションのセキュリティを向上させるためのプロダクトやツールなどについて紹介しよう。 Webアプリケーションファイアウォール Webアプリケーションのセキュリ

    @IT:Webアプリケーションファイアウォール

  • @IT:Webアプリケーション: 第3回 気を付けたい貧弱なセッション管理

    ※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 「第2回 顧客データがすべて盗まれる」は、クロスサイトスクリプティング(XSS)と同様に実際のプログラミングを行うプログラマの責任であるという対策で、最も危険と思われるSQL InjectionとOS Command Injectionについて紹介した。今回は、プログラミング以前の設計段階で潜り込むセキュリティホール――見落としがちなセッション管理の脆弱性について説明していく。 We

    @IT:Webアプリケーション: 第3回 気を付けたい貧弱なセッション管理

  • A. WEBプログラマコース

  • セキュリティエンジニアリング:IPA 独立行政法人 情報処理推進機構

    インターネットアプリケーションを開発する際には、各種セキュアプロトコルについての知識が必要です。 インターネットセキュリティに関する RFC RFC(Request for Comments)は、IETF(The Internet Engineering Task Force)におけるインターネット標準化活動によって公表される一連の公式文書です。セキュアプロトコルの実装を促進するため、インターネットセキュリティに関するRFCを掲げ、重要な RFCについてはを日語に翻訳して提供しています。 アイデンティティ管理技術解説 広義のアイデンティティ管理技術の分野において、インターネットプロトコルが使われています。組織内のアカウント管理において使われるのみならず、インターネット上におけるユーザ認証、属性情報交換、アクセス認可においても多種多様なプロトコルが利用されます。 PKI 関連技術情報 PK

  • webアプリケーションの開発をする上で必要なセキュリティ上の知識を習得するために、Iこれを読め!…

    webアプリケーションの開発をする上で必要なセキュリティ上の知識を習得するために、Iこれを読め!Iというwebサイトやを紹介して下さい。

  • スラッシュドット ジャパン | UTF-7エンコードされたタグ文字列によるXSS脆弱性に注意

    jbeef曰く、"家に「Cross Site Scripting Discovered in Google」というストーリが掲載された。 これは、Web Application Security Consortiumが主宰するメーリングリストに投稿された記事を伝えるもの。その記事によると、Google.comにXSS(クロスサイトスクリプティング)脆弱性が見つかり、発見者が11月15日にGoogleに連絡したところ、12月1日に修正されたという。この脆弱性の原因と対策は以下の通り。" (つづく...) "まず、Googleの404 Not Foundのページはこの例のように、リクエストされたURLのパス名を画面に表示するようになっている。ここで、そのパス名にHTMLのタグを構成する文字「<」「>」が含まれている場合、Googleは、これをきちんと「&lt;」「&gt;」にエスケープして出

  • IPA セキュア・プログラミング講座 「Webアプリケーション編」に「Web関連技術」を追加

    ページの情報は、2016年10月時点のものです。2023年10月に再構成をいたしました。 なお、内容に変更はありません。 2016年10月版 2002年2月に「Webプログラマコース」と「製品プログラマコース」、2007年の6月に「Webアプリケーション編」、9月に「C/C++編」と分けて公開してきた講座のうち、原則を中心として共通的なものをまとめて2016年10月に再編しました。 なお、資料内の参照先はすべてサイトリニューアル前のURLであるため、リダイレクトを設定しています。 セキュア・プログラミング講座(2016年10月版/2017年6月一部修正)(PDF:2.3 MB) 2007年版 「ソースコード検査技術の脆弱性検出能力向上のための研究」(注釈1)を実施した一環として取りまとめた内容を、2002年から公開していたセキュア・プログラミング講座(旧版)の改訂版(2007年版)として

    IPA セキュア・プログラミング講座 「Webアプリケーション編」に「Web関連技術」を追加

  • 多様化するWebアプリケーションへの攻撃

    第1回「機密情報に合法的に近づけるWebアプリケーションを守れ」では、「Unvalidated Input(許可されていない入力)」における「Hiddenフィールドマニピュレーション」の手法について説明した。いままでアプリケーションセキュリティに携わらなかった方にも、Webサイトが攻撃されるメカニズムが、意外に単純なものであることが理解してもらえたと思う。 前回の内容に対して、周囲からいくつか質問をもらった。「こんなこと書いていいのか?」というものである。つまり、誰もが簡単に攻撃を行えることを示すことによって、かえって被害を増加させるのではないか、という懸念を持たれたわけだ。今回の記事では、より多くの攻撃手法を説明していくため、論に移る前にこういった質問に回答しておきたい。 私たちはすでに連載で記しているような脅威の中にいる。それは、Webアプリケーションセキュリティに携わったことのあ

    多様化するWebアプリケーションへの攻撃

  • 【レポート】Black Hat Japan 2005 - クロスサイトスクリプティング、どんな攻撃で、どう防ぐか | ネット | マイコミジャーナル

    Black Hat Japan 2005 Briefingsで、Yahoo! のInformation Security OfficerだったJeremiah Grossman氏が、フィッシングに関する「Phishing with Super Bait」と題した講演を行った。Grossman氏は、現在WhiteHat Securityを設立、同社のCTOとして活動しているほか、Web Application Security Consortium(WASC)の設立者でもある。 Grossman氏はまず、Anti-Phishing Working Group(APWG)による今年1月の調査結果を引用し、フィッシングサイトが2,560、昨年7月から今年1月までの半年間における1カ月あたりの増加率は平均28%、今年1月にフィッシングで狙われたブランドは64、フィッシングサイトが活動していた

  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2025 Hatena. All Rights Reserved.