ウェブアプリケーションセキュリティ超入門 | SlideshareOWASP Nagoya Local Chapter Meeting 1st 講演資料です https://owaspnagoya.connpass.com/event/59813/Read less
地味に書きためていくWeb開発セキュリティのキホン - f-shin (@fshin2000) の日記
XSS対策 インターネットから送られてくる入力値は絶対に信用しない。(post /get に留まらず、URLそのもの、Headerの中身や、画像のexif情報なども!) 情報を出力する時のescapeは、文脈にあわせて変える。htmlに出す場合とJavaScriptに出す場合、CSVに出す場合、JSONに出す場合でescapeの方法が変わる! echoする時は、基本全部にescape。コントローラ側の文脈に依存する「この変数にそもそもescapeは必要か?否か?」に任せると、後で技術的負債化する! そうではなく「ここの出力方法が適切か?」を一目でチェックできるようにすると簡単にチェックできる。あとから数千個、数万個をチェックする人の身になってコードを書く。 外部からの引数で、処理を分岐する場合は、必ず値を比較して想定する文字に一致した時のみ処理するように書く。 絶対に、そのままの値を引き回
クロスサイトスクリプティング対策 ホンキのキホン - 葉っぱ日記
本稿はCodeZineに2015年12月28日に掲載された記事の再掲となります。 クロスサイトスクリプティング(XSS)は、古くから存在し開発者にもっともよく知られたセキュリティ上の問題のひとつでありながら、OWASP Top 10でも2010年に引き続き2013年でも3位と、未だに根絶できていない脆弱性です。 本記事では、Webアプリケーションの開発においてXSSを根絶するために必要な対策の基本を本気でお伝えします。 はじめに OWASPでは開発者に向けたセキュリティ対策のためのドキュメントやチートシートを多数用意しており、XSSへの対策としても「XSS (Cross Site Scripting) Prevention Cheat Sheet」というドキュメントが用意されています。 ただし、このXSS Prevention Cheat Sheetはシンプルなルールを定めたチートシートで
PHP入門書のSQLインジェクションとXSS対策をあらためて調べてみた
継続的にPHP入門書のセキュリティ問題を確認していますが、今回は「やさしいPHP 第3版」を取り上げ、今どきのPHP入門書のセキュリティ状況を報告したいと思います。 やさしいPHP やさしいシリーズ 単行本 – 2008/2/29 やさしいPHP 第2版 (やさしいシリーズ) 単行本 – 2010/8/28 やさしいPHP 第3版 (「やさしい」シリーズ) 大型本 – 2014/9/26 上記のように、2008年に初版が出版された後2回の改版がありました。 第2版ではクロスサイトスクリプティング(XSS)の説明が追加され、第3版ではXSSに加えSQLインジェクションの説明が追加されました。つまり、初版ではこれらの説明はなかったということです。 第3版におけるSQLインジェクションの対策方法はプレースホルダによるもので、結果として本書にSQLインジェクション脆弱性は見当たりません(パチパチパ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
