「演算子のインジェクション」と「SSJI」
「演算子のインジェクション」と「SSJI」:NoSQLを使うなら知っておきたいセキュリティの話(1)(1/2 ページ) ここ数年、大量データ処理時の高速性やデータ構造の柔軟性などから、「NoSQL」が注目を集めています。それと同時に、NoSQLを使うアプリケーションに対する攻撃手法も研究されるようになりました。この記事では、NoSQLを使ったアプリケーションの脆弱性と対策について解説します。 注目集める「NoSQL」 ここ数年、NoSQLと呼ばれる種類のデータベースが注目を集めています。NoSQLはSQL言語を使用しないデータベースの総称で、大量データ処理時の高速性やデータ構造の柔軟性などのメリットがあるため、従来のリレーショナルデータベース(RDB)を補完・代替するものとして、大規模なWebアプリケーションなどにおいてNoSQLを採用する事例が増えています。 このような新しい技術が普及し
知らないほうがいいのかもね? 人の脆弱性にハラハラ
※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。 また、本記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 改正不正アクセス禁止法、成立 特定の国や企業をターゲットにした攻撃や、正義を掲げ活動するハクティビストの動きが盛んだ。 これらの攻撃は既存の手法を組み合わせたものであって、根本的に新しい部分はない。だが、筆者が情報セキュリティにかかわるようになってから10年以上が経つが、これほどまでにつかみどころがなく、多岐に渡る大規模な動きはなかったように思う。サイバー情勢が世界中で
ちょっと変わったSQLインジェクション
@IT編集部のセミナーに出てきました 3月2日に、@IT編集部主催の「@IT セキュリティソリューション Live! in Tokyo」にて、NTTデータ先端技術の辻さんとインターネットイニシアティブの根岸さんとともに、ランチセッションに出演してきました。辻さん&根岸さんのトークに絡ませてもらい、あっという間にランチセッションは楽しく終了しました。 事前の準備中はあれだけいろいろと話そうと思っていたのに、いざ始まると時間が足りないくらい盛り上がりました。ちょっと物足りないと思うくらいがいいのかもしれませんね。その会場で使った、2002年と2012年付近の出来事を示した資料がこちらです。 私はちょうど10年前の2002年にラックに入社しました。振り返ってみればあっという間の10年の社会人生活です。こうしてみると、いろんなインシデントがリアル世界とサイバーの世界で起こっていたんだなと懐かしくな
こんなに充実!Webで学べるIT系学習講座20選まとめ
Webにある「学び舎」使っていますか? 無料で学べるオンラインコンテンツが数多く観られるようになってきました。従来は語学や、ビジネス系のものが目立っていましたが、最近では、質の高いIT系のオンライン学習のための教材がそろってきました。オンラインでの学習の利点はいくつか考えられます。 安価もしくは無料で質の高い教材に出会える 自分の時間をうまく使って教材や講座を観られる →モバイルデバイスに入れて持ち歩くこともできる 気に入った講座はサブスクライブ(登録)することで継続的に受講できる 海外の講座であれば、英語の勉強(ヒアリング)にもなる →海外出張や英語イベント参加の前に、英語脳に切り替えるのに便利 物理や数学、ITやプログラミングに直接関係無い事柄でも学べる 一方で、一緒に学ぶ同級生の存在が感じられにくい、サボる理由がいくらでもあり、モチベーションが続きにくいといった難点もあります。 また
いまさら聞けないiPhone/iPadアプリの作り方の基礎
いまさら聞けないiPhone/iPadアプリの作り方の基礎:SDKで始めるiPad/iPhoneアプリ開発の勘所(1)(1/4 ページ) 初めてiPhone/iPadアプリ開発に挑戦する人が、迷わず短時間でアプリを作れるように、数多くの情報の中から要点をグっと絞った開発の勘所を紹介する入門連載です 迷わず短時間でiPhone/iPadアプリを作れるように 皆さんのお気に入りのiPhone/iPadアプリは何でしょうか。筆者は、Googleカレンダーと同期してくれるスケジュール管理アプリがお気に入りです。いまでは目的のアプリを探すのも大変なほど、日々多くのiPhone/iPadアプリが登場しています。 6月8日にはiPhone 4の発表があり、マルチタスクやモバイル広告ネットワーク、ゲーム開発など、iPhone OS改め、iOS 4で実現できる機能がたくさん追加され、さらに魅力的になりました
DB設計の神ツール「ERMaster」なら、ここまでできる
DB設計の神ツール「ERMaster」なら、ここまでできる:ユカイ、ツーカイ、カイハツ環境!(11)(1/3 ページ) 無料のEclipseプラグイン「ERMaster」とは データベースのテーブル設計を行うときに皆さんは、どのようにしているでしょうか? いくつかの無料で利用できるツールが提供されているので、筆者はそれらを利用していましたが、最近「ERMaster」と呼ばれるEclipseプラグインの存在を知りました。 ERMasterは、ほかのツールに比べ、直感的で分かりやすいUI(ユーザーインターフェイス)に、カスタマイズ可能な、Excelで出力できるテーブル定義書、辞書機能など痒いところに手が届くERモデリングのツールです。本稿では、このERMasterについてご紹介します。 ERMasterの主な特徴、8つ ERMasterには、主に次のような特徴があります。 【1】直感的で使いや
あの手この手で守るべきカード情報、その中身とは? ― @IT
第2回 あの手この手で守るべきカード情報、その中身とは? 川島 祐樹 NTTデータ・セキュリティ株式会社 コンサルティング本部 PCI推進室 CISSP 2008/10/7 PCI DSSではクレジットカード、デビットカードなど「ペイメントカード」の情報保護指針を定めています。日本でも身近になったクレジットカードですが、どのような情報が含まれるのでしょうか。クレジットカード情報の保護から、基本的なセキュリティの考え方を再度確認してみましょう(編集部) 第1回「エンジニアも納得できる“PCI DSS”とは」では、PCI DSSの概略を解説しました。第2回ではPCI DSSで守るべき「カード情報」について、そもそもカード情報と呼ぶものに何が含まれるのか、そしてどのようにカード情報を守るべきかを解説します。 「カード会員情報」って16けたの番号だけじゃないの? 一言でカード会員情報といっても、そ
まずは、mixiアプリを使ってみよう、作ってみよう
まずは、mixiアプリを使ってみよう、作ってみよう:基礎から分かる、mixiアプリ作成入門(1)(1/3 ページ) mixiのアプリ?それって何? 「mixiアプリ」は、iGoogleのガジェットのように、SNS「mixi(ミクシィ)」上に組み込まれて実行される、Webアプリケーションです。主に、JavaScript+XML+HTML+CSSで作ります(やり方によっては、Flashなども使える)。 誰でも開発でき、人が開発したmixiアプリを自分のマイページなどに自由に組み込むことができます。また、Webアプリケーションのため課金方式は異なりますが、iPhoneアプリのようにmixiアプリを作って公開することで報酬を得ることもできます。 mixiアプリは、2009年6月現在、オープンβ環境のみで利用可能となっています。正式版は、8月公開予定です(参考:「mixiアプリ」8月に正式公開 販売
教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 小さな話題が面白い 皆さん、はじめまして。はせがわようすけと申します。 「教科書に載らないWebアプリケーションセキュリティ」ということで、Webアプリケーションのセキュリティに関連する、普段あまり見掛けないような小さな話題を取り上げていきたいと思います。 セキュアなWebアプリケーションを実現するために、開発者の方だけでなく、Webアプリケーションの脆弱性検査を行う方々にも読んでいただきたいと思っています。重箱の隅を楊枝でほじくるような小さな話題ばかりですが、皆さんよろしくお願いします。 さて第1回は、Internet ExplorerがHTMLを解釈する際の引用
![教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT](https://cdn-ak-scissors.b.st-hatena.com/image/square/82de8989bb7acc1ec9333bef18042c097988bca5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F0902%2F27%2Fwebapp0101.jpg)
SubversionとTracでファイル管理の“迷宮”から脱出
SubversionとTracでファイル管理の“迷宮”から脱出:ユカイ、ツーカイ、カイハツ環境!(2)(1/4 ページ) プロジェクトで修正/仕様変更が“迷宮”入りする理由 ソフトウェア開発を行ううえで、設計書やソースコードのバージョンをきちんと管理することは非常に重要です。構成管理(ファイル管理)を行っていないプロジェクトでは、例えば次のような問題が発生します。 2人以上の開発者が同時に成果物を編集した場合、後に編集を始めた開発者がすでに編集を行った開発者の編集内容を上書きしてしまう。結果として、修正したはずのバグや変更したはずの仕様が、設計書やソースコードに反映漏れするという事態が発生 設計書やソースコードのレビューを行って修正したはいいが、どこをどう修正したのか分かりにくく、レビュー内容の反映の確認を行っても修正漏れや修正誤りに気が付かない ソースコードを変更すると、動かなくなってし
Linuxの教科書を無料配布、LPI-Japan ― @IT
1回50分の授業4回分を1セット(1章)とした13セット(13章)で構成。各章、解説と実習をミックスした作りになっている。ページ数は合計246ページ。 主に、高校、大学、専門学校、教育会社、企業において、Linuxを初めて学習する学生や社会人に向けているが、指導する先生、講師も対象に作成した。 LPI-Japanによると、「多くの教育機関からLinuxを基礎から学習するための教材や学習環境の整備に対する要望」があったという。 同教材は、LPI-JapanのWebページで9月16日から公開している。アンケートに答えるとPDF形式でダウンロードできる。 最新の技術動向に対応し、随時アップデートを行っていく予定。テキスト作成やアップデートに関する意見はメーリングリストで募集している。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
連載インデックス「SDKで始めるiPad/iPhoneアプリ開発の勘所」 - @IT