JVN#78363061: CAFEMILK ショッピングカート CGI におけるクロスサイトスクリプティングの脆弱性CAFEMILK ショッピングカート CGI には、入力文字列の検査処理が適正に行われないことによる、クロスサイトスクリプティングの脆弱性が存在します。
高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由
水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。 これを、Webアプリという実装手法を選択する場合に特化すると、図2のような遷移図が描ける。 実線矢印はブラウザが送信するHTTPのrequest(ヘッダおよび、POSTの場合はボディを含む)を表し、黄色の丸がサーバ側での1アクセスの処理を表し、点線がその処理結果を返すHTTPのresponse(ヘッダおよび、HTML)を表す。responseの上の文はHTMLの内容を説明するものである。黄色の丸の中の文は処理内容の説明であり、ここから複数のresponse矢印が出ている場合、処理の結果によって遷移先の画面が異なる場合であることを表し、破線の白抜き四角がその分岐の条件を概説している。 この図で例に用いているのは、ECサイトやblogサービスなどに見られる典型的な「登録個人情報変更」の機能である。「メインメニュー」画面の「登録情報変更
高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由
水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。 これを、Webアプリという実装手法を選択する場合に特化すると、図2のような遷移図が描ける。 実線矢印はブラウザが送信するHTTPのrequest(ヘッダおよび、POSTの場合はボディを含む)を表し、黄色の丸がサーバ側での1アクセスの処理を表し、点線がその処理結果を返すHTTPのresponse(ヘッダおよび、HTML)を表す。responseの上の文はHTMLの内容を説明するものである。黄色の丸の中の文は処理内容の説明であり、ここから複数のresponse矢印が出ている場合、処理の結果によって遷移先の画面が異なる場合であることを表し、破線の白抜き四角がその分岐の条件を概説している。 この図で例に用いているのは、ECサイトやblogサービスなどに見られる典型的な「登録個人情報変更」の機能である。「メインメニュー」画面の「登録情報変更
「受動的攻撃」に気をつけろ~その実態と対策~
この記事では,日本IBM ISSのセキュリティ・オペレーション・センター(SOC)が注目している攻撃方法の一つである「受動的攻撃」を解説したい。 受動的攻撃とは,攻撃を受ける側の何らかの行動(例えば,「Webサイトへアクセスする」,「メールを開く/プレビュする」)を“トリガー”にする攻撃である。攻撃者から見れば“受動的”であるために,この名称が付けられている。ほとんどの場合,OSやアプリケーションの脆弱性(セキュリティ・ホール)を突く。 注目している理由は,まず第一に,受動的攻撃が頻繁に確認されているためである。広く使われているOSやアプリケーションに深刻な脆弱性が見つかるたびに,その脆弱性を突くような受動的攻撃が出現している。 攻撃者側から仕掛けられる能動的な攻撃とは異なり,インターネット境界(ゲートウエイ)で防ぐことが難しいことも,その注目している理由として挙げられる。受動的攻撃を防ぐ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
