明日、敗訴しないためのAndroidセキュアコーディング・フォローアップ - Qiita
本日(2016/02/18)、DroidKaigi 2016で「明日、敗訴しないためのAndroidセキュアコーディング」をお話させていただきました。終わった際にいくつか質疑応答を頂いたので振り返ったのですが、私が質問の意図を完全に把握出来ず変な回答をしている気がしたので、発表の緊張から解放された今、改めて自分の考えを記載しようと思いました。 資料はこちら 質問1: パスコードを暗号化してファイルにぶっこんでも、引張だしたら解析されてしまうのでは? これに対する回答はYesです。共通鍵だろうと公開鍵だろうと、それをアプリ上で作る以上、複合は余裕です。正直、アプリ上で作る以上その呪縛からは逃れられない(回答時に言えなかったこと) ただ私が作っているアプリ上で、暗号化しているものはパスコードのみです。ぶっこ抜いたパスコードは遠隔からでは使えない様にしているため、遠隔からの攻撃についてはセーフ。
Google、「ハッキング学習用Webアプリ」を公開 - スラッシュドット・ジャパン
Googleが「ハッキングを通じてWebアプリのセキュリティや脆弱性を学ぶ」ことを目的としたWebアプリ「Jarlsberg」を公開した Google Online Security Blog)。 Jarlsbergは、「ハッカーがどのようにセキュリティ脆弱性を見つけるか」「どのようにWebアプリを攻撃するか」「どうすればそのような行為への対策を行えるか」を学習することを目的としたもの。Google Apps上で動作しているWebアプリで、ユーザーが実際にさまざまな攻撃をテストしてみることが可能。「jarlsberg.appspot.comドメイン上で任意のスクリプトを実行できるようなファイルをアップロードせよ」などの課題やヒント、その解答と対策なども多数用意されている。また、ソースコードについてもすべて公開されている。 ドキュメントはすべて英語だが、セキュリティに興味のある方は挑戦してみ
WEBプログラマー必見!WEB脆弱性基礎知識最速マスター - 燈明日記
以下は、WEBプログラマー用のWEB脆弱性の基礎知識の一覧です。 WEBプログラマーの人はこれを読めばWEB脆弱性の基礎をマスターしてWEBプログラムを書くことができるようになっているかもです。 また、WEB脆弱性の簡易リファレンスとしても少し利用できるかもしれません。 WEBアプリケーションを開発するには、開発要件書やプログラム仕様書通りに開発すれば良いというわけにはいきません。 そう、WEB脆弱性を狙う悪意のユーザにも対処しないといけないのです。 今回、WEBアプリケーションを開発にあたってのWEB脆弱性を、以下の一覧にまとめてみました。 このまとめがWEBアプリケーション開発の参考になれば幸いです。 インジェクション クロスサイト・スクリプティング セッション・ハイジャック アクセス制御や認可制御の欠落 ディレクトリ・トラバーサル(Directory Traversal) CSRF(
脆弱性体質の改善 ――C/C++セキュアコーディング入門(1)
はじめに 皆さんこんにちは。JPCERTコーディネーションセンターという組織でセキュアコーディングに関する取り組みに携わる筆者らが、これからこの連載を担当させていただくことになりました。どうぞよろしくお願いします。なお、JPCERTコーディネーションセンターは、情報セキュリティインシデントへの対応支援や、ソフトウエアの脆弱性(いわゆるセキュリティホール)に関する製品開発者間における公開日の調整や関連情報の公開なども行っています。 この連載では、バッファーオーバーフロー等の脆弱性をうっかり作り込んでしまったがために、数千万円ものコストをかけて、ユーザに告知し、製品を回収して、工場でファームウェアをアップデートする事態に陥ったり、あるいは脆弱性を放置してユーザを危険にさらし、それが明るみに出て「世間を騒がす」ことになったりしなくても済むように、そもそもの製品開発時からセキュアなプログラムを書く
JPCERT コーディネーションセンター イベント情報
C/C++ セキュアコーディング ハーフデイキャンプ 2009夏 part3 は受付けを終了いたしました。 お申込みありがとうございました。 脆弱性のない安全なプログラムを開発するために ~ソフトウエアの脆弱性が作りこまれる根本的な原因を学び、問題を回避する~ JPCERTコーディネーションセンターは、C/C++ 言語で脆弱性を含まない安全なプログラムをコーディングする具体的なテクニックとノウハウを学んでいただくためのセミナーを下記のとおり開催いたします。 本セミナーは 2009年1月29日から 3月26日に開催した「C/C++ セキュアコーディング ハーフデイキャンプ」を再講演するものです。 従来のプログラミング教育は、基本的なアルゴリズムをどのようにコーディングするかが主なものでした。 しかし C/C++ 言語による開発では、基本的なプログラミングだけでなくセキュリティへの十分な配慮が
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Amazon.co.jp: C/C++セキュアプログラミングクックブック VOLUME 3 ―公開鍵暗号の実装とネットワークセキュリティ: John Viega (著), Matt Messier (著), 岩田哲(監訳) (翻訳), 光田秀 (翻訳): 本
Amazon.co.jp: C/C++セキュアプログラミングクックブック〈VOLUME2〉対称鍵暗号の実装: ビエガ,ジョン (著), メシエ,マット (著), Viega,John (原名), Messier,Matt (原名), 哲,岩田 (翻訳), 秀,光田 (翻訳): 本
Amazon.co.jp: C/C++セキュアプログラミングクックブック: Unix/Windows対応 (volume 1): John Viega (著), Matt Messier (著), 光田秀 (翻訳): 本
Amazon.co.jp: C/C++ セキュアコーディング: 本: Robert C. Seacord,JPCERTコーディネーションセンター
Amazon.co.jp: Writing Secure Code第2版〈下〉プログラマのためのセキュリティ対策テクニック: Michael Howard (著), David LeBlanc (著), トップスタジオ (翻訳): 本
Amazon.co.jp: WRITING SECURE CODE 第2版 上 (マイクロソフト公式解説書): ハワード,マイケル (著), ルブラン,デイビッド (著), Howard,Michael (原名), LeBlanc,David (原名), トップスタジオ (翻訳): 本
Safe! Visual Studio 2005 Safe C および C ライブラリでコードへの攻撃を撃退する -- MSDN Magazine, 2005 年 5 月