クロスサイトスクリプティング(XSS)とCSRFの違い早分かり - ockeghem(徳丸浩)の日記
昨日の日記で、DK祭りで使われている脆弱性がXSSかCSRFかという問題になった。どうも、XSSとCSRFがごっちゃになっている人もいるように見受けるので、簡単な整理を試みたい。 XSSとCSRFには似た点がある。 どちらも「クロスサイト」という言葉が先頭につく なりすましのようなことが結果としてできる どちらも受動型攻撃である それに対して、もちろん違う点もある。専門家から見れば「似てるも何も、そもそも全然違うものですよ」となるのだろうが、現に混同している人がいるのだから紛らわしい点もあるのだろう。 私思うに、XSSとCSRFの決定的な違いは、以下の点ではないだろうか。 XSSは攻撃スクリプトがブラウザ上で動くが、CSRFはサーバー上で動く このため、XSSでできる悪いことは、すなわちJavaScriptでできることであって、攻撃対象のCookieを盗み出すことが典型例となる。一方、CS
SQL Injectionツール - teracc’s blog
ここのところ、いくつかのSQL Injectionツールについて調べていました。今日はその結果を日記に書いてみようと思います。 はじめに SQL Injectionツールとは SQL Injection脆弱性の発見と、発見した脆弱性を突いてのDB内情報の取得を行なうためのツールです。 ただし、多くのツールでは「脆弱性の発見」はおまけで、後者のDB内情報の取得に主眼を置いています。一般的には、汎用のWeb脆弱性スキャナなどで脆弱性を見つけて、その脆弱性に対してこの日記に書いているようなツールを使って情報を取得するという使い方をすることが多いでしょう。 SQL Injectionツールは、いわゆるHackingツールです。脆弱性検査を行なう者か、さもなければCrackingを行なう犯罪者が使うくらいで、一般のWeb開発者やユーザの人が使う必要に迫られることは無いでしょう。 ツールの使用に際して
MOONGIFT: » PUT/DELETEメソッドを簡単に「RESTClient」:オープンソースを毎日紹介
今のWeb APIで最もよく使われる手法にRESTがある。いわゆるGET/POSTメソッドでデータを取得、登録するものだが、更新や削除の際にはPUT/DELETEメソッドが使われることもある。 これがくせ者で、標準のブラウザでテストするのが難しい。プログラムで書けばできるが、クライアントから手軽に実行するのには、このソフトウェアを使おう。 今回紹介するオープンソース・ソフトウェアはRESTClient、RESTを実行する専用クライアントソフトウェアだ。 RESTClientはGET/POSTはもちろん、HEAD/PUT/DELETE/Options/Traceメソッドを送ることができるソフトウェアだ。URLを指定して、リクエストヘッダを設定したら、後は実際にリクエストしてみれば良い。 結果はヘッダとボディーに分けて取得できる。残念ながら日本語は文字化けする。他にもHTTP認証も利用でき、B
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
