「SQLインジェクション対策」でGoogle検索して上位15記事を検証した - ockeghem(徳丸浩)の日記
529 users
このエントリでは、ネット上で「SQLインジェクション対策」でGoogle検索した結果の上位15エントリを検証した結果を報告します。SQLインジェクション脆弱性の対策は、既に「安全なSQLの呼び出し方」にファイナルアンサー(後述)を示していますが、まだこの文書... 続きを読む
2 RT▼
2 RT
すべて表示
HTMLのscriptタグ内に出力されるJavaScriptのエスケープ処理に起因するXSSがとても多い件について - 金利0無利息キャッシング – キャッシングできます - subtech
273 users
あとで書く 続きを読む
すべて表示
私はいかにしてソフトバンク端末60機種のJavaScriptを検証したか - ockeghem(徳丸浩)の日記
530 users
昨日の徳丸浩の日記: ソフトバンクの非公式JavaScript対応の調査結果で報告したように、昨年5月に、ソフトバンク60機種の検証を行い、JavaScript対応の状況などを調査しました。当時はまだ公式なJavaScript対応機種はない状態でしたが、既にほとんどの端末が *... 続きを読む
すべて表示
なぜPHPアプリにセキュリティホールが多いのか?:第31回 番外編:sqlmapの紹介|gihyo.jp … 技術評論社
35 users
なぜPHPアプリにセキュリティホールが多いのか? 第31回 番外編:sqlmapの紹介 2010年6月28日 大垣靖男 PHP, セキュリティ, SQLインジェクション, sqlmap テーブル, データベース, インジェクション, パラメータ, コマンド 1 2 3 今回は「第29回 SQLインジェク... 続きを読む
すべて表示
ゼロから学ぶOAuth:第1回 OAuthとは?―OAuthの概念とOAuthでできること|gihyo.jp … 技術評論社
666 users
ゼロから学ぶOAuth 第1回 OAuthとは?―OAuthの概念とOAuthでできること 2009年3月9日 真武信和 OAuth, Webサービス, smart.fm, Google 1 2 今回から始まった「ゼロから学ぶOAuth」。全4回の特集にて,これからのWebサービスを開発する上で不可欠な技術「OAuth... 続きを読む
高木浩光@自宅の日記 - 「VeriSignシール」という幻想
180 users
■ 「VeriSignシール」という幻想 オレオレ証明書ではないSSLサーバ証明書は、2つの独立した機能を果たしていると言える。1つ目は、SSLプロトコルによるサーバとクライアント間の暗号化通信のために不可欠な役割であり、2つ目は当該サイト運営者の実在証明の機... 続きを読む
すべて表示
Nmap リファレンスガイド (Man Page)
75 users
Nmap (“Network Mapper”)は、ネットワーク調査およびセキュリティ監査を行うためのオープンソースのツールである。大規模ネットワークを高速でスキャンするように設計されているが、単一のホストに対してもまったく問題なく機能する。Nmapは生の(raw)IPパケッ... 続きを読む
複数パスワードを一括管理して自動ログインもできるFirefoxのアドオン『KeeFox』 : ライフハッカー[日本版], 仕事も生活も上手くこなすライフハック情報満載のブログ・メディア
110 users
Firefox , Mozilla , アドオン , セキュリティ , フリーソフト , 生活術 , 防犯・防災 複数パスワードを一括管理して自動ログインもできるFirefoxのアドオン『KeeFox』 掲載日時:2010.03.09 16:00 コメント [0] , トラックバック [0] 複数のパスワードを一括... 続きを読む
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
538 users
Loading... Flash Player 9 (or above) is needed to view presentations. We have detected that you do not have it on your computer. To install it, go here. 続きを読む
すべて表示
もっとも危ないプログラミングエラー25、+16 | エンタープライズ | マイコミジャーナル
466 users
CWE is a Software Assurance strategic initiative sponsored by the National Cyber Security Division of the U.S. Department of Homeland Security. CWE - 2010 CWE/SANS Top 25 Most Dangerous Programming Errorsにおいて脆弱性の原因となる危険なプログ... 続きを読む
すべて表示
apache :: ドットから始まるファイル、ディレクトリにアクセス禁止 [Tipsというかメモ]
36 users
.htaccess .secret.txt .svn 等のドットから始まるファイル、ディレクトリにアクセス禁止 #403 Forbidden RedirectMatch 403 /\. ちなみにディレクトリのみに限定したければ #403 Forbidden RedirectMatch 403 /\..*/ どこぞのサイトには以下のように Directory... 続きを読む
サンシャイン牧場 情報「露出」問題のまとめ | 鳩丸よもやま話
428 users
「サンシャイン牧場」において、課金操作を行った人のメールアドレスと電話番号が「露出」していた件のまとめです。 はじめに「サンシャイン牧場」はmixiアプリとして提供されているゲームです。mixiアプリとしては最大の利用者数を誇り、2009年11月23日現在、... 続きを読む
ネットブック「ならでは」のセキュリティー対策法が「ついに」分かった / SAFETY JAPAN [特集] / 日経BP社
2 users
無料と有料のセキュリティーソフトが、ネットブックに向いているかどうか試験してみた ウイルス対策ソフトをパソコンにインストールすることは、仕事に使う場合はいうまでもなく、友人知人とメールを交換する上でも最低限のマナーだ。 ネットブックの多くに採用... 続きを読む
徳丸浩の日記 - PHP以外では - 既にあたり前になりつつある文字エンコーディングバリデーション
308 users
Rubyの場合 Rubyの場合は、Ruby1.9にて文字エンコーディングの取り扱いが大幅に改善され、RubyでCGIプログラムを記述した場合早期に文字エンコーディングの検証が入るようになっています。たとえば、以下のような、クエリ文字列を受け取って表示するだけの簡単... 続きを読む
ゼロ円でできるインターネットVPN(1/4)
707 users
ゼロ円でできるインターネットVPN OpenVPNで手軽にVPN構築 オープンソースのソフトウェア「OpenVPN」を利用すれば、手軽にSSL-VPNによるインターネットVPN環境を構築することができます。そのインストール・設定方法を紹介しましょう。(編集局) Shin.鶴長 200... 続きを読む
すべて表示
高木浩光@自宅の日記 - やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合
785 users
■ やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 一年前、「退化してゆく日本のWeb開発者」という題で、ケータイWebの技術面での蛸壺化について次のように書いた。 iPhoneに契約者固有ID送信機能が搭載される日 (略)こうして退化して... 続きを読む
すべて表示
パスワード管理ツール ID Manager
538 users
ID Managerはインターネット上で発行される、たくさんのIDとパスワードを管理するフリーソフトです。 インターネットを使用していると、いろいろなサイトでIDとパスワードの登録を求められますが、 その数はインターネットを使えば使うほど増えていき、IDとパス... 続きを読む
ユーザーに負担を掛けないリスクベース認証 - japan.internet.com Webテクノロジー
1 user
不特定多数のユーザーを標的としたオンライン詐欺による被害が拡大しています。しかしながら、依然ユーザーの危機意識には差があり、全てのユーザーがセキュリティ強化を利用するとは限りません。利用しない原因のひとつとして、セキュリティ強化に伴う利便性の... 続きを読む
世界の国別 IPv4 アドレス割り当てリスト
87 users
世界の国別に割り当てられている IPv4 アドレスを、サブネット マスク形式や CIDR 形式に変換し、最適化して公開しています。1 日 1 回程度更新。Linux 等でのアクセス制限向け。ところがこのリスト、RIR Statistics Exchange Format にも書いてあるように、「... 続きを読む
ssh ブルートフォースアタックについて。 - trial and error
19 users
なんとなく書いてみます。 Linux などのシステムを管理する際、ssh でアクセスすることが非常に多いかと思います。 ssh は便利ではありますが、乗っ取られたら終わり、という側面も持っています。 secure shell というぐらいあって、高度なセキュリティによって... 続きを読む
Security Compass - Application Security Canada
8 users
Exploit-Me is a suite of Firefox web application security testing tools designed to be lightweight and easy to use. The Exploit-Me series was originally introduced at the SecTor conference in Toronto. The slides for the presentation are avail... 続きを読む
高木浩光@自宅の日記 - 日本のインターネットが終了する日
974 users
■ 日本のインターネットが終了する日 (注記:この日記は、6月8日に書き始めたのをようやく書き上げたものである。そのため、考察は基本的に6月8日の時点でのものであり、その後明らかになったことについては脚注でいくつか補足した。) 終わりの始まり 今年3... 続きを読む
すべて表示
MOONGIFT: Web2.0時代のセキュリティ査定ツール「Ratproxy」:オープンソースを毎日紹介
60 users
オープンソース・フリーウェアを毎日紹介するブログ。日々の業務の効率化、新しいサービスのネタ探しにどうぞ。SNS、SBS、CMS、オフィス、画像編集、ユーティリティ、Firefoxアドオン、テキストエディタ、ゲーム…ジャンルは様々。 [Apache License 2.0] [ C] [... 続きを読む
高木浩光@自宅の日記 - EV SSL導入に伴い生じ得る特有の脆弱性
78 users
ANSER WEBというASPサービスでインターネットバンキングを提供している金融機関が、EV証明書を導入した理由は、「NTT DATA CORPORATION」という社会的信頼の高い企業による運営であるという表示によって、利用者に本物サイトであることの確認手段を提供したこと... 続きを読む
高木浩光@自宅の日記 - 対策にならないフィッシング対策がまたもや無批判に宣伝されている
139 users
■ 対策にならないフィッシング対策がまたもや無批判に宣伝されている 「PCからオンライン取引、ケータイで認証」−ソフトバンクBBの新発想・認証サービス, Enterprise Watch, 2007年9月20日 「同サービスはまったく新しい認証の手段だ。暗号化技術にも依存しな... 続きを読む
すべて表示
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
1564 users
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)は、ウェブサイト開発者・運営者が適切なセキュリティを考慮した実装ができるようにするための資料として、「安全なウェブサイトの作り方 改訂第3版」を2008年3月6日(木)より、IPAセキュリ... 続きを読む
すべて表示
なぜPHPアプリにセキュリティホールが多いのか?:第8回 クロスサイトスクリプティング対策の落とし穴|gihyo.jp
77 users
なぜPHPアプリにセキュリティホールが多いのか? 第8回 クロスサイトスクリプティング対策の落とし穴 2007年8月10日 大垣靖男 プログラミング, PHP, セキュリティ 今回は熟練したWebアプリ開発者なら常識のクロスサイトスクリプティング対策の落とし穴を紹介し... 続きを読む
