Webアプリの脆弱性は5+1の分類で把握せよ-NTTデータCCS長谷川氏
NTTデータCCS、アウトソーシング事業本部 ネットワークサービス部 シニアセキュリティスペシャリストの長谷川武氏 昨今、情報セキュリティの維持は企業において重要な課題となっている。特に2008年は多発したSQLインジェクション攻撃によりWebサイト改ざんや情報漏えいが引き起こされ、Webアプリケーションセキュリティ(WAS)の重要性を心に刻みつけた1年だった。 なぜ、Webアプリケーションの脆弱性はこうも甚大な被害を生み出すのか。WAS事業を展開している住商情報システム(以下、SCS)主催のWebアプリケーション開発者向けセミナーに登壇した、NTTデータCCS アウトソーシング事業本部 ネットワークサービス部 シニアセキュリティスペシャリストの長谷川武氏は、次のように説明する。同氏は脆弱性検査の豊富な経験を持ち、IPAで非常勤研究員としても活躍するWASの第一人者だ(なお、細かい表現は筆
ホームページ担当者が知らないと困る Webサイトセキュリティの常識(ソシム刊)
2008年12月9日発売 ■著者 小島 範幸 ■定価 1,764円 ■豊富な事例から学ぶ実践的なセキュリティ対策! 巧妙化する手口を知り、被害を未然に防ぐ! 中小規模・個人のWeb担当者&総務管理部門の担当者必読! 目次 第1章 改めて求められるセキュリティ対策の重要性 1.1 インターネットも現実社会も同じ危険性が潜む 1.2 インターネットのセキュリティは性善説に基づく技術 1.3 PCやネットワークには数多くの脆弱性が存在する 1.4 セキュリティ対策のためには運用可能なセキュリティポリシーを策定する 1.5 ネットバンキングの詐欺事件の事例 第2章 もっとも身近な脅威、ウイルス 2.1 メールの添付ファイルからウイルスに感染 2.2 どのようにしてウイルスに感染するのか? 2.3 すべてのPCで必要なウイルス対策の実践と対処方法 2.4 ウイルスの種類と被害
「Eメール・ウェブ適正利用推進協議会」設立のお知らせ
2008年12月1日 社団法人 日本インターネットプロバイダー協会 社団法人 日本通信販売協会 特定非営利活動法人 日本ウェブ協会 特定非営利活動法人 日本ネットワークセキュリティ協会 モバイル・コンテンツ・フォーラム 有限責任中間法人 ECネットワーク 有限責任中間法人 日本電子認証協議会 「Eメール・ウェブ適正利用推進協議会」 設立のお知らせ このたび、社団法人 日本インターネットプロバイダー協会(会長:渡辺武経)、社団法人 日本通信販売協会(会長:上原 征彦)、特定非営利活動法人 日本ウェブ協会(理事長:森川 眞行)、特定非営利活動法人 日本ネットワークセ キュリティ協会(会長:佐々木 良一)、モバイル・コンテンツ・フォーラム(座長:東邦仁虎)、有限責任中間法人 ECネットワーク(理事:原田 由里、沢田登志子)、有限責任中間法人 日本電子認証協議会(代表理事:秋山卓司)、の7団体が発
武田圭史 » 日本のインターネットを終了させないために
総務省が携帯電話のオープン化などについて議論している「通信プラットフォーム研究会報告書案」に対する意見を募集しています。期限は明日21日まで。 総務省は、「通信プラットフォーム研究会」(座長:相田 仁 東京大学大学院教授)において取りまとめられた報告書案について、平成20年10月24日(金)から11月21日(金)までの間、意見を募集します。 携帯固有IDの一般サイトへの解放や固有IDのポータビリティなどの話題を取り扱って来た研究会だけに「日本のインターネットが終了してしまう」と心配な方は、具体的な問題点などについて意見を提出しておくとよいのではないでしょうか。 報告書自体は最終的にはそれなりに多角的な論点を取り込んで当初の議論よりおとなしめの内容になったようですが、行動ターゲティング広告やらライフログの話も言及されており危険な感じがしないでもありません。
緊急点検!Webアプリ・セキュリティ(前編) / SAFETY JAPAN [特集] / 日経BP社
「対策済み」こそ危ない それでも本誌の読者ならば,既に「対策済み」かもしれない。 だが,その安心感が足をすくいかねない。 クラッカは,開発者が対策済みであることさえも悪用し,その盲点を突くような攻撃パターンを編み出す。 「今日セキュアであったシステムが,明日セキュアである保証はない」(富士通情報セキュリティセンターセキュリティマネジメント部プロジェクト課長奥原雅之氏)のだ。 こうした変化に適応するには,次のようなアプローチが必要になる。 「対策状況を繰り返し検査する」(物質・材料研究機構材料基盤情報ステーション材料データベース研究グループリーダー山政義氏)――。 「ある対策を攻撃がすり抜けても別の対策で止められるように実装する」(ウィルソン・ラーニングワールドワイドウェブコミュニケーションセンター長葛野健司氏)――。 「上流工程で漏れをなくし,開発工程全体で脆弱性を是正する
ケータイWebアプリ開発、9つの注意点 - @IT
初心者にとってはトラブルが発生しやすいケータイWebアプリの開発。携帯電話への対応サイトを初めて開発するときに想定するべき9つの注意点を紹介する(編集部) 携帯対応サイトを開発するときの注意事項 携帯電話が普及してもう随分たちます。いまでは、サイトを作るときにケータイに対応するかどうか、必ず意識されるようになりました。しかし、ケータイ対応のWebアプリを作ろうとするとPC用のサイトと違う部分も多く、Web開発経験はあるけれど携帯の開発経験がない人にとっては取り組み難く、実際に想像できなかったトラブルがいくつも発生します。 本記事は、Webサイトのモバイル対応を担当した私が、実際に携帯対応サイトを作ったときに発生したトラブルを踏まえて、携帯対応サイトを初めて開発するときに想定するべき注意事項を中心に説明していきます。 ケータイ向けとPC向けのWebページの相違点 インターネットへの接続方法に
MOONGIFT: » 凄すぎる。便利なオンラインパスワードマネージャ「Clipperz Community Edition」:オープンソースを毎日紹介
何がすごいか。それはこれだけの機能を持ちながらオープンソースである点だ。 Webアプリケーションが隆盛になる中で、登場したのがオンラインのパスワード管理ソフトウェアだ。これは非常に重要なステップと言えそうで、現状のWebアプリケーションでは最も大事と言えそうなIDやパスワードを外部のWebサービスに預けて、セキュリティの問題やリスクをどう捉えるかが問題になる。これが可能になれば、Webアプリケーションのあり方すら変わってくるだろう。 オフライン版 だが、それでもWebサービスにデータを預けるのは精神的に難しい、という人も多いのではないだろうか。そんな人のためのソフトウェアがこれだ。 今回紹介するオープンソース・ソフトウェアはClipperz Community Edition、Clipperzのオープンソース版だ。 Clipperzはオンラインのパスワード管理アプリケーションだが、Clip
お探しのページが見つかりませんでした|三井物産セキュアディレクション株式会社
たいへん申し訳ございませんが、お客様のアクセスしたページ(URL)を見つけることができませんでした。 お客様がお探しのページ(URL)は、サイトリニューアルに伴い変更したページの可能性がございます。 恐れ入りますが、下記サイトマップより該当する内容をお探しください。
PDF 千夜一夜: 2008年04月03日 アーカイブ
Webは修理が必要だ — Turducken問題 New Yorkで3月に開催されたAjax World East2008で、YahooのDouglas Crockford氏が、「Webを修理できるか」という題で講演しています。 ○講演を紹介したブログ:Crockford Speaks on “Fixing the Web” and Appears on Channel 9 ○MSDNのチャンネル9でのインタビュー:http://channel9.msdn.com/Showpost.aspx?postid=391047 ○講演内容のPowerPointスライド:http://yuiblog.com/assets/crockford/crockford-fix.zip Douglas Crockford氏はJavascript分野で大変有名な人らしいですが、講演内容を見ますと相当にショッキン
United States
Humanoid robots are a bad ideaMultiple companies are now using robots that walk and talk like human beings. What could go wrong?
メールでパスワードを送ってくる困ったサイトちゃんたち - andalusiaの日記
備忘録も兼ねて、平文メールで勝手にパスワードを送ってくる企業をさらしておきます。 ID・パスワードを忘れた際に、リクエストベースで送ってくる企業は除いています。(こういったケースも平文でネットワーク上にパスワードを流さない工夫は欲しいのですが・・・) 一流といわれる企業でもこういうのが多いので、困ったもんです。 なお、自分のメールボックスから拾い上げたので、現在は改善されているかもしれません。 ※注意 これら情報を悪用して、メールをネットワーク上でから拾い上げてパスワードゲット!、みたいに使うのはやめてくださいね!(><) Oracle Japan SAP BEA ハングリーフォーワーズ クラブニンテンドー ツクモ ミクシィ infoseek isweb へそクリック DION LOVELOG ソフトバンク ビジネス+IT livedoor ナムコ クッキングアイランド イーツアー ★Or
書籍 ウェブアプリケーションセキュリティ サポートページ
1章 ウェブアプリケーションセキュリティの基礎 ・HTMLによる制限は回避可能である ・裏側で何が行われているのか ・パケットスニッファ ・プロキシツール ・ウェブブラウザの存在そのものが偽装できる ・リクエストの書き換えでHTMLの制限を回避する ・JavaScriptの制限を回避する ・hiddenフィールドの内容を書き換える ・フォームの値の書き換えとGET/POST ・Cookieを書き換える ・リファラやUser-Agentを書き換える ・リクエストに含まれる情報は信用できない 2章 データ処理の原則と指針 ・データ処理の原則 - 原則1 - 原則2 - 原則3 - 原則4 ・hiddenフィールドとCookieに関する指針 - 指針1 - 指針2 - セキュリティと前提 ・「入力時に型チ
進化する“Webスクレイピング”技術の世界 ― @IT
2007/02/20 WebサービスのAPIやRSSフィードを使って複数サイトのサービスや情報をマッシュアップ――。これはWeb2.0が包含するいくつかの概念のうち、最も重要なものの1つだ。Amazon.comやGoogle、Yahoo!、楽天といった大手Webサイトは、RESTやSOAPを用いたAPIを公開しており、さまざまなサービス提供者や個人がAPIを通して各種サービスを利用している。その一方、世の中のWebサイトの大多数はWeb1.0的なHTMLやCGIフォームしか提供していないのが現実だ。こうした背景からWeb1.0サイトから構造化されたデータを引っ張り出す“Webスクレイピング”技術が急速に発展してきているようだ。 HTMLをXML化し、XPathで関連データだけを抽出 例えば価格情報サイトでは製品名から価格が簡単に調べられるが、Webサーバから提供されるのは、製品名や価格にレ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
