ArachniでWeb脆弱性スキャンをやってみる - ももいろテクノロジー
「w3afでWeb脆弱性スキャンをやってみる」では、w3afを使ってWeb脆弱性のスキャンを行った。 Web脆弱性のスキャンツールには、w3afの他にArachniがある。 ArachniはヘッドレスブラウザPhantomJSを利用しており、高精度な脆弱性テストを行うことができる。 ここでは、Arachniを使ったWeb脆弱性のスキャンをやってみる。 環境 Ubuntu 14.04.3 LTS 64bit版、Docker 1.9.1 $ uname -a Linux vm-ubuntu64 3.19.0-25-generic #26~14.04.1-Ubuntu SMP Fri Jul 24 21:16:20 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux $ lsb_release -a No LSB modules are available. Dist
勝手に査読:Webアプリにおける11の脆弱性の常識と対策
「Webアプリにおける11の脆弱性の常識と対策」という記事を久しぶりに読みました。出た当事も思いましたが、基本的な誤りが多く、読者が誤解しそうです。このため、編集部から頼まれたわけではありませんが、「勝手に査読」してみようと思います。 細かい点に突っ込んでいくとキリがないので、大きな問題のみ指摘したいと思います。 ※2013年2月25日追記 このエントリに対して、編集部が元記事を修正くださいました。徳丸も修正に協力いたしましたが、十分正確な内容ではないことをお含みおきください。 ※追記終わり 同記事の想定読者は誰か査読にあたり、この記事の想定読者を明確にしておいた方がよいですね。記事の冒頭には、連載の説明があります。 本連載は、JSP/サーブレット+StrutsのWebアプリケーション開発を通じて、Java言語以外(PHPやASP.NET、Ruby on Railsなど)の開発にも通用する
Webアプリの脆弱性を検出するツールはありますか?
MSDNフォーラムで表記の質問を見かけました。同フォーラムの活動実績がないせいか、回答にリンクを貼ると拒否されましたので、こちらに回答します。 ここからが質問なのですが、プログラムの実装が完了したあと、脆弱性が潜んでいないかをチェックする必要があるのですが、脆弱性を検出するツールなどがありましたら教えてください。できれば、無償で使える物で、環境にあまり依存しないもの(Windows Serverのバージョンや、DBMSの種類に依存しないもの)がよいです。 Webアプリの脆弱性を検出するツールはありますか? 以下、回答です。 ご要望の条件をすべて満たすツールは、おそらくないと思います。 少し古いエントリになりますが、以下のブログにWebアプリケーションの脆弱性を調べるツールがまとめられています。 サーバ/Webアプリケーション脆弱性チェックツールの個人的まとめ(フリー/有償) 良い物は高価、
Webアプリの7割にXSSの脆弱性、情報流出につながる恐れも
Webアプリケーションのセキュリティ診断では全体の68%にクロスサイトスクリプティング(XSS)の脆弱性が、32%にSQLインジェクションの脆弱性が見つかった。 セキュリティ診断サービスを手掛ける米Veracodeは12月7日、アプリケーションのセキュリティ診断に関する報告書をまとめ、Webアプリケーションの多くにクロスサイトスクリプティング(XSS)やSQLインジェクションの脆弱性が見つかったと報告した。 この調査では、同社が提供しているクラウドベースのアプリケーションセキュリティ診断プラットフォームに過去1年半の間に提出された9910本のアプリケーションについて、診断の結果をまとめた。 診断基準では、攻撃に悪用されることの多いXSSとSQLインジェクションの脆弱性については一切容認しないポリシーを新たに導入。その結果、10本のアプリケーションのうち8本が、セキュリティ基準を満たしていな
クローラ作者の逮捕とエンジニアの不安――“librahack事件”まとめ - はてなニュース
2010年5月25日、愛知県在住の男性が岡崎市立中央図書館の新着図書データベースに大量アクセスを繰り返したとして、偽計業務妨害の疑いで逮捕されました。その逮捕が報じられた直後から、Web技術に詳しいエンジニアを中心に、ネット上では疑問の声がやみません。この「岡崎市立中央図書館事件」、通称“librahack事件”は、一体何が問題視されているのでしょうか? ■ 「岡崎市立中央図書館事件」、通称“librahack事件”の経緯 事の発端となったのは、4月2日~15日にかけて愛知県在住の男性が、自身が作成したプログラムを用いて岡崎市立中央図書館のWebサイトに延べ3万3000回のアクセスを繰り返したこと。これによって、同サイトの一部サービスで閲覧障害が発生。4月15日、利用者からの苦情を憂慮した岡崎市立図書館が愛知県警に被害届を提出します。それを受けて5月25日、愛知県警は偽計業務妨害の疑いで男
Web アプリケーションの脆弱性に対する攻撃と防御 — Gruyere - 1.1
2010-06-13: Codelab アプリケーションの名前を Gruyere (旧 Jarlsberg) に変更。ブックマークを更新してください。 ハッカーを打ち負かしたいですか ?¶ ハッカーがどのようにしてセキュリティの脆弱性を見つけるのかを学ぶ ! ハッカーがどのように Web アプリケーションを攻撃するのかを学ぶ ! それをどのように防ぐかを学ぶ ! この codelab では、どのようにして Web アプリケーションの脆弱性が攻撃されるか、 またその攻撃をどのように防御するかを見ることができます。 学習するための最善の道は実際にやってみることであり、 実アプリケーションに対して侵入をテストすることができます。 具体的には、以下の内容を学習します: どのようにして、アプリケーションへの クロスサイトスクリプティング (XSS) やクロスサイトリクエストフォージェリー (XSRF
XSS (Cross Site Scripting) Cheat Sheet
XSS (Cross Site Scripting) Cheat Sheet Esp: for filter evasion By RSnake Note from the author: XSS is Cross Site Scripting. If you don't know how XSS (Cross Site Scripting) works, this page probably won't help you. This page is for people who already understand the basics of XSS attacks but want a deep understanding of the nuances regarding filter evasion. This page will also not show you how to
Google、「ハッキング学習用Webアプリ」を公開 - スラッシュドット・ジャパン
Googleが「ハッキングを通じてWebアプリのセキュリティや脆弱性を学ぶ」ことを目的としたWebアプリ「Jarlsberg」を公開した Google Online Security Blog)。 Jarlsbergは、「ハッカーがどのようにセキュリティ脆弱性を見つけるか」「どのようにWebアプリを攻撃するか」「どうすればそのような行為への対策を行えるか」を学習することを目的としたもの。Google Apps上で動作しているWebアプリで、ユーザーが実際にさまざまな攻撃をテストしてみることが可能。「jarlsberg.appspot.comドメイン上で任意のスクリプトを実行できるようなファイルをアップロードせよ」などの課題やヒント、その解答と対策なども多数用意されている。また、ソースコードについてもすべて公開されている。 ドキュメントはすべて英語だが、セキュリティに興味のある方は挑戦してみ
WEBプログラマー必見!WEB脆弱性基礎知識最速マスター - 燈明日記
以下は、WEBプログラマー用のWEB脆弱性の基礎知識の一覧です。 WEBプログラマーの人はこれを読めばWEB脆弱性の基礎をマスターしてWEBプログラムを書くことができるようになっているかもです。 また、WEB脆弱性の簡易リファレンスとしても少し利用できるかもしれません。 WEBアプリケーションを開発するには、開発要件書やプログラム仕様書通りに開発すれば良いというわけにはいきません。 そう、WEB脆弱性を狙う悪意のユーザにも対処しないといけないのです。 今回、WEBアプリケーションを開発にあたってのWEB脆弱性を、以下の一覧にまとめてみました。 このまとめがWEBアプリケーション開発の参考になれば幸いです。 インジェクション クロスサイト・スクリプティング セッション・ハイジャック アクセス制御や認可制御の欠落 ディレクトリ・トラバーサル(Directory Traversal) CSRF(
サイト脆弱性をチェックしよう!--第9回:AppScanによるアプリ脆弱性の自動検査
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 前回まで、主な脆弱性の検査方法について説明してきた。前回の最後にも説明したとおり、アプリケーションの脆弱性検査を手動で行うには、非常に大きな手間とある程度の技術や知識が必要となる。 また、手動による検査では検査する人の技術レベルに依存しがちだ。このため、検査の水準を一定に、低コストで実施できる自動検査ツールの利用も進んでいる。 そこで今回は、「IBM Rational AppScan」を例として、自動検査ツールについて説明しよう。 自動検査ツールの原理 検査を行う時に必要な情報は、ウェブアプリケーションを利用するときに、ブラウザからサーバへ送信されるHTTPリクエストだ。HTTPリクエストには、以下のものが含まれている。 接続先のURL
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
ウノウラボ Unoh Labs: 5分でできるウェブサーバのセキュリティ向上施策
こんにちは、naoya です。 先日、ウノウが公開しているサービスの中にいくつかの脆弱性が見つかったため、社内で「脆弱性発見大会」を開催しました。この大会は、二人一チームに分かれてウノウが公開している各サービスの脆弱性を見つけることを目的とした大会です。結果は、いくつか各サービスに脆弱性が見つかり、すぐに修正することができました。 僕のチームは、ウノウのホームページやラボブログなど細かいサービスを担当しました。その中で、いくつかのウェブサーバにセキュリティ上あまい設定がありました。 今日は、ウェブサーバのセキュリティ向上のための設定方法についてエントリします。なお、ウェブサーバはApache 2.2系を前提としています。 サーバ情報の表示しない ウェブサーバ(Apache)で、404などのエラーページを表示したとき、ヘッダやページの下にApacheやOSのバージョンが表示されます。こういっ
公開中のHTMLファイルがごっそり消失!?
星野君の会社のWeb管理ツールにログインできない障害が発生したのは、Webブラウザごとに異なるCookieの扱い方に起因していた。Cookie Monsterを撃退した星野君に、あらたな問題が立ちふさがる。 ある日の朝、星野君が自席で仕事をしていると後ろから声を掛けられた。 赤坂さん 「ねぇ、星野君」 振り返ると、赤坂さんがノートPCを抱えて立っていた。 星野君 「あ、赤坂さん。こっちのフロアに来るなんて珍しいですね。どうかしたんですか?」 赤坂さん 「うん、高橋さんとミーティングなんだけど……。どこにいるか知らない?」 星野君 「さっきまでいたんですけどねぇ。喫煙所にいるんじゃないですか!?」 赤坂さん 「そっかぁ。じゃ、ここでちょっと待ってようかな。LANの口借りてもいい?」 星野君 「あ、どうぞ。このケーブル使っていいですよ」 赤坂さんはおもむろに高橋さんの席に座り、持っていたノート
高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法
■ クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 「クロスサイトリクエストフォージェリ」がにわかに注目を集めている。古く から存在したこの問題がなぜ今まであまり注目されてこなかったかについて考 えているところだが、引越しやら転勤やらでいまひとつ日記を書く時間がない。 しかし、 @ITの記事などのように混乱させる解説も散見されるので、一点だけ対策 方法について書いておくとする。 クロスサイトリクエストフォージェリ――Cross-Site Request Forgeries (CSRF)を防止する簡潔で自然な解決策は以下のとおりである。 前提 ログインしていないWeb閲覧者に対するCSRF攻撃(掲示板荒らしや、ユーザ登 録を他人にさせる等、サイト運営者に対する業務妨害行為)はここでは対象と しない。 ログイン機能を持つWebアプリケーションの場合、何らかの方法でセッション 追
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
米Yahoo、Web脆弱性診断ツール「Webseclab」を公開、Go言語で実装
IPA-安全なウェブサイトの作り方2021年改訂第7版.pdf
「安全なウェブサイトの作り方」改訂、Webアプリの失敗例を拡充