[ThinkIT] 第3回:SQLインジェクションの注意点 (1/3)
データベースを扱う時に考慮しなければならない最後の問題は、おそらくアプリケーションのデータベースに対する認証情報、つまりデータベースアクセスを許可するログイン情報やパスワードをどうやって保持するのか、ということではないでしょうか。ほとんどのアプリケーションではPHPの小さな設定スクリプトを使ってログイン名やパスワードを変数に割り当てています。 このような設定ファイルが、サーバ利用者が自由にアクセスして読めるような状態になっていることが(専用ホストでないなら)よくあります。しかし誰にでも読めるということは、同じシステム上の誰でも、または悪質なスクリプトがそのファイルを読み、データベースログインに必要な情報を盗めてしまうということです。 さらに悪いことに、多くのアプリケーションではこのファイルはウェブ上から閲覧可能なディレクトリに置かれており、.incのようなPHPファイルと認識されない拡張子
IPA セキュア・プログラミング講座 「Webアプリケーション編」に「Web関連技術」を追加
本ページの情報は、2016年10月時点のものです。2023年10月に再構成をいたしました。 なお、内容に変更はありません。 2016年10月版 2002年2月に「Webプログラマコース」と「製品プログラマコース」、2007年の6月に「Webアプリケーション編」、9月に「C/C++編」と分けて公開してきた講座のうち、原則を中心として共通的なものをまとめて2016年10月に再編しました。 なお、資料内の参照先はすべてサイトリニューアル前のURLであるため、リダイレクトを設定しています。 セキュア・プログラミング講座(2016年10月版/2017年6月一部修正)(PDF:2.3 MB) 2007年版 「ソースコード検査技術の脆弱性検出能力向上のための研究」(注釈1)を実施した一環として取りまとめた内容を、2002年から公開していたセキュア・プログラミング講座(旧版)の改訂版(2007年版)として
世界のハッキング画面のミラー
ハッキングは犯罪です。 先に言っときますが、このミラーはハッキング集団を宣伝するものではないし、ましてや賛美するものではありません。 事実と歴史の一辺としてアーカイヴしているものです。なので、ソース等の改変は一切していません。(一部、海外のアーカイヴしていたサイトさんの名前がソースにありますが、表には見えないと思います。) 実際にはもっと数多くのサイトがハッキングされていますが、今回ミラーしたのは「ビジュアル的に見て面白いもの」を基準にピックアップしています。政治的意図などはミラーしてる当人には全くありません。 純粋に「見た目」で選びました。 実際のハッキング画面ってのは、英文が一行書いてあるだけとかの方が断然多いです。 例えば「OWNED by ○○○」とか「r00t hack by ○○」とかって・・・。 なるべく新しいモノから順番に書いたツモリです。 日時がわかるモノにつ
Paj's Home: Cryptography: JavaScript MD5
MD5 is a secure hash algorithm. It takes a string as input, and produces a 128-bit number, the hash. The same string always produces the same hash, but given a hash, it is not generally possible to determine the original string. Secure hash algorithms are useful for protecting passwords and ensuring data integrity. This site has a JavaScript implementation of MD5, and some other secure hash algori
k-square's diary: Windows n。 )Pnヨ了ユh]n2Nケ
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
Wired News - EFFも後押しする米海軍発の匿名化システム『トーア』(上) - : Hotwired
EFFも後押しする米海軍発の匿名化システム『トーア』(上) 2005年5月19日 コメント: トラックバック (0) Kim Zetter 2005年05月19日 プライバシー保護ツールは、ときとして奇妙な協力関係を生み出すことがある。 その一例が、『トーア』(Tor)と呼ばれるインターネット通信の匿名性確保のためのシステムだ。トーアはもともと、米国政府の職員がオンラインで身元を隠すことができるよう、米海軍調査研究所(NRL)が出資して開発していたものだ。それが現在では、市民的自由の擁護を訴える団体、電子フロンティア財団(EFF)が資金の一部を出し、開発を後押ししている。 トーアを使うと、ウェブページの閲覧やチャット、インスタント・メッセージをすべて匿名で行なえるようになる。トーアの仕組みは、送信者から受信者までデータを届ける間に、無作為に選ばれた3台のサーバー(ノード)を経由させるという
Hotwired Japan - ネット上の匿名性を保護する『Anonym.OS』
ネット上の匿名性を保護する『Anonym.OS』 2006年1月18日 コメント: トラックバック (0) Quinn Norton 2006年01月18日 ワシントンDC発――プライバシーに敏感なコンピューターオタクにとって理想のマシン――それは完全に匿名性を保持できる安全なコンピューターで、しかもおばあちゃんでも、手渡された直後に地元のスターバックスコーヒーに持っていって使えるくらい簡単なものだ。 この考えかたを基本理念として、『カオス理論セキュリティー・リサーチ』(kaos.theory security research)のメンバーたちは、暗号化された安全なオペレーティング・システム(OS)をブータブルCD[システムの起動が可能なCD]で提供する活動をはじめた。これを使えば、一般の人々でもセキュリティーの専門家と同じレベルのプライバシー保護を簡単なユーザーインターフェースで利用でき
高木浩光氏による「安全なWebアプリ開発の鉄則2005」(pdf)
1 安全なWebアプリ開発の鉄則2005 独立行政法人産業技術総合研究所 情報セキュリティ研究センター 高木 浩光 http://staff.aist.go.jp/takagi.hiromitsu/ Internet Week 2005 チュートリアル 2005年12月8日 配布資料 2 目次 • Webアプリの基本的な構成 – セッションIDによるセッション追跡 – セッションIDの配置 • セッション追跡に対する攻撃と防御 – セッションハイジャック – セッションライディング(CSRF:クロス サイトリクエストフォージェリ) – セッション固定化 • セッション追跡方式の欠陥 – 推測可能なセッション追跡パラメタ – 予測可能なセッションID – 稚拙な暗号の使用 • 権限確認の欠陥 – アクセス制御の欠如 – ユーザ識別の欠如 • 画面設計の問題 • 万が一に備えた適切な実装 •
窓の杜 - 【NEWS】MS、再起動ごとにOSをもとに戻すツールを誰でも使えるよう日本語化し無償公開
マイクロソフト(株)は21日、PCを再起動するだけで、OSをインストールしたHDDの内容を、あらかじめ設定された状態に戻せるソフト「Microsoft Shared Computer Toolkit for Windows XP」日本語版を公開した。Windows XPに対応するフリーソフトで、現在同社のホームページからダウンロードできる。 本ソフトは、主に学校やネットカフェなどにおいて、不特定多数が利用する共有PCを管理するために提供されたもの。個人利用においても、子供に使わせるPCの環境が不用意な操作で壊れないように保護したり、プログラム開発のテストに使用するといった活用法が考えられる。 本ソフトの仕組みは、ユーザーがHDDに対して行ったファイル操作を、実際には本ソフトが別途確保した領域に記録し、再起動時に記録内容を破棄するというもの。ただし、Windowsの更新プログラムのインストー
注目の情報管理方式「しきい値秘密分散法」
基礎技術解説:秘密分散法 注目の情報管理方式「しきい値秘密分散法」 岩本 琢哉 (Takuya Iwamoto) 株式会社シーフォーテクノロジー 2004/11/27 情報資産を安全に管理するための1つの手段として、データを「暗号化」するという方法があります。これには鍵を持たない(知らない)者は、暗号化されたデータにアクセスできないというメリットがありますが、ISMS(情報セキュリティマネジメントシステム)の可用性の立場から考えると、それがデメリットとなることもあります。 「もし、急に必要になったデータの管理者が休暇中だったら……」。 本稿では暗号化とリスク分散という観点から、最近注目されている情報の管理方式 「しきい値秘密分散法」 をご紹介します。 秘密分散が従来の暗号とはどう違うのかを明確にするため、先に「暗号」について簡単におさらいすることにします。暗号とは、あるデータを 当事者しか
トリニティーセキュリティーシステムズ、新技術のルータを発表--IPSecより安価にVPN構築
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ネットワークセキュリティ機器開発のトリニティーセキュリティーシステムズは1月16日、新製品「IPN-R100」を発表した。価格は11万8000円で1月31日から販売を開始する予定。 IPN-R100は、トリニティーセキュリティーシステムズが開発した技術であるIPN(Identified Private Network)を利用したルータ。IPNは、同社独自の動的パスワード認証方式SAS-2と暗号化技術AES(128ビット)を組み合わせた技術だ。 IPNを用いた認証・暗号方式は、暗号化・復号化に使用する暗号鍵はパケットごとに動的に変更されており、また暗号鍵はネットワーク上を流れることがないために非常に強固な暗号になっているという。IPNによ
高木浩光@自宅の日記 - ぜひ買いたいこの一冊(脆弱性コードレビュー練習用その1), JPCERT/CCの判断力も蝕む サニタイズ脳の恐怖
■ ぜひ買いたいこの一冊(脆弱性コードレビュー練習用その1) ジュンク堂本店の「PHP」コーナーで一番目に付く位置に飾られていた本を読 んでみた。 改訂新版 基礎PHP, 山田祥寛監修、 WINGSプロジェクト(本田将輝、山葉寿和、斉藤崇、森山絵美、渕幸雄、青島裕、山田奈美)著, インプレス, 2004年10月1日初版発行 2005年12月11日第1版第5刷発行 帯の宣伝文句はこうだ。 PHP5で作るWebアプリケーション 待望の改訂版登場! 最新機能まで踏み込んだ内容と、必要な環境を収録したCD-ROMで、着実に学ぶ 着実に……ですか。 最初の動くサンプルコードはこうなっている(p.72)。 <html> <head><title>hello_world.php</title></head> <body> <?php $var_str="Hello World"; print ($var
fladdict.net blog: MIXIを使った、トラフィックの個人追跡システム
というのが可能だと考え付いて、ちょっと愕然とした。 自分のサイトに、隠しiframeでMIXIの自ページを読み込ませておくの。 そうすると、自分のサイトを訪れたログイン中のMIXI会員は、足跡がついちゃうの。あとは定期的に足跡キャッシュする。誰がウチのサイトを見てるかバレバレ(注:実装してないよ)。 一見、アホネタだけど。これ凄いシリアスな問題だよな。だってさ、エロサイトとかにそういう仕組みがあったら、最悪の場合一瞬で個人情報特定されるぜ?サイトのクッキーと、MIXIのアカウントとかが結びつけられた日には、何がおこるかわかったもんじゃないですよ。 100万超過の巨大コミュニティとなった今、MIXIの持っていた知り合いとの人間関係を担保とした安全性ってのは、もうとっくに崩壊してる。さらにザバサーチのようにネット上に分散する情報をかき集めれば、かなりの精度で個人情報が筒抜けになる危険性も増して
セキュリティの今を読み解く10のキーワード / SAFETY JAPAN [セキュリティの今を読み解く10のキーワード] / 日経BP社
「セキュリティの今を読み解く10のキーワード」は,『日経コミュニケーション』2005年11月25日増刊号に掲載された特集です。 『日経コミュニケーション』は、激動の国内外の通信・ネットワークの最前線を毎月2回お伝えする、我が国No.1の通信・ネットワークの総合情報誌です。 『日経コミュニケーション』のコンテンツや最新号の記事エッセンスなどについては,こちらのサイトでご覧いただけます。 『日経コミュニケーション』の年間ご購読の申し込みは,こちらで承っておりますので,どうぞよろしく願い致します。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Engadget | Technology News & Reviews