知らなかったらNGなWEBアプリケーション脆弱性一覧 : mwSoft blog
先日、AmebaなうがCSRFという非常にポピュラーな脆弱性を披露したかと思ったら、ここ数日はセブンネットショッピングでXSSの脆弱性と、ID推測による他ユーザの個人情報閲覧の問題が発生しているという噂が流れています。 ユーザの情報を預かっておきながら、基本的なセキュリティの対策もできていないというのは、銀行に例えるなら、お金を預けようとした時に「お金は預かります。ちゃんと保管します。でも警備はあまりしないので盗まれたらスイマセン」と言われるようなものだと思う。 警備に穴があったというのではなく、まともに警備してませんでした、というのはさすがにありえないことです。 そこで、野良WEBプログラマである私が知っている脆弱性を列挙してみた。 私はプログラマであってセキュリティの専門家ではないです。しかも今年の春辺りからずっと外向けのWEBプログラムは組んでません。 その人間が知っているものを並べ
SQLとXSSは最凶ツートップ? - 極楽せきゅあブログ
世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?:川口洋のセキュリティ・プライベート・アイズ(13) - @IT これ良い記事だなあ。最近なんかセキュリティ業界のあおりすぎが鼻につく気がしていたんだよね。まあその片棒を思いっきり担いでいたりもしたので、今更何をと言われてしまうだろうけど。 この記事では、実際に即したリスクの分析をちゃんとしようぜ、ということを言っていると思うんだけど、そういうところ大事っすよね。 ただ、あっしの意見はちょっと違うかなあ。あっしは、結局SQLインジェクションとXSSってセットで考えるべきなんじゃないの、と思っていたりします。 そら細かく見れば、対策する方法や対策そのものも異なりますし、例えば「SQLインジェクションには対策を行って、かつXSSの対策は行っていない」という状況になる可能性はゼロではないでしょう。しかし現実的には、SQLインジェクション
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
