何故かあたり前にならない文字エンコーディングバリデーション
(Last Updated On: 2018年8月8日)私が4年前(2005年)に「Webアプリセキュリティ対策入門」を執筆していた時には、既に壊れた文字エンコーディングなどの不正な文字エンコーディングを利用したJavaScriptインジェクションやSQLインジェクション攻撃は比較的広く知られていました。この問題は当時のスラッシュドットジャパンでも取り上げられていました。/.で取り上げられたので、そこら中のWebサイトとユーザが被害に合うのでは?とヒヤヒヤしたので良く覚えています。 不正な文字エンコーディングを利用した攻撃は、文字エンコーディングを厳格に取り扱い、文字エンコーディングをバリデーションすれば無くなります。これを怠ると、システムのどこで問題が発生するか予想できなくなります。つまり、いい加減に文字エンコーディングを取り扱うと安全なシステムは作れないのです。 参考:エンジニア向けに
未踏プロジェクトでこうすれば良い結果が得られるんじゃないかと思うTips - FutureInsight.info
僕とid:kawatan、id:octobaの3名で開発したcoRocketsが評価されスーパークリエイタに認定されました。 http://www.ipa.go.jp/about/press/20090518.html スーパクリエイタに認定されたのは制度上僕だけなのですがGUI全般を担当したid:kawatan、Webシステム全般を担当したid:octobaと二人の協力なしでは開発はすすめられませんでした。二人にはとても感謝しています。現在、coRocketsは機能強化をしたversion1.1のリリースに向けて準備をすすめていますので、楽しみにお待ち下さい。 さて、せっかくですので僕なりに未踏本体を通して感じた、こうすれば未踏でも良い結果が得られるんじゃないかと思う点をまとめておこうかと思います。 レビューのサイクルを回すことを重視 僕は普段は会社員として働いており、主に土曜日、日曜日
CCFinder ホームページ
AIST CCFinderX 旧バージョン ライセンス (誤解を招くとのご指摘を受け、2006/10/17に表現を改訂いたしました。旧ライセンスについては、こちらをご覧ください。) CCFinderXフリーウェアライセンス 本ソフトウェアは修正せず、他のソフトウェアに組み込まない限りにおいて自由 に再配布することができます。 ライセンスキーや解凍パスワードを他人に渡すことを禁止します。 使用目的が、教育、研究、(商用・非商用を問わず)組織内での利用、本 ソフトウェアの評価のいずれかであれば、本ソフトウェアを無料で利用でき ます。 コンサルティングや不特定多数へのネットワークサービスを使用目的として、 本ソフトウェアを利用することを禁止します。(そのような目的には 商用ライセンスが必要です。) 本ソフトウェアは”現状のまま” 提供されるものとします。本ソフトウェア については、明示黙示を問わ
Windows/Linuxで動作するシステムモデリングツール·Open System Architect MOONGIFT
システム開発において、初期段階のドキュメントはしっかりと作られる傾向にある。もちろんデータベースの正規化や設計も適切に行われる。だが運用が開始してから起こる修正や、追加開発についてはそれらがおざなりになる。 論理モデル そしてシステムというのは目に見えず、全体像の把握が行いづらい。そこでまずは現状を見える状態にしよう。使うのはOpen System Architectだ。 Open System ArchitectはWindowsやLinuxで動作するオープンソース・ソフトウェアで、GPLの下に公開されている。 Open System Architectは論理モデルと物理モデルの二つのモデリング手法に対応している。初期の開発からであれば論理モデルから落とし込んだり、逆に既にある場合は既存データベースからの構築機能があるのでそれを使って物理モデルからはじめれば良いのではないだろうか。 テーブ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
