サイト脆弱性をチェックしよう!--第5回:XSSの脆弱性を検査する方法
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 前回までは安全なウェブアプリケーションを作成する手法をいくつか説明してきた。今回からは代表的な脆弱性についての検査方法を説明していきたい。まずは、クロスサイトスクリプティング(XSS)の脆弱性について、その検査方法を紹介する。 XSSとは、入力として受け取ったデータに含まれている「Javascript」などのスクリプトやタグが、それらが有効な形で出力(HTTPレスポンス)に含まれているために、ブラウザが意図しない動作や表示を行ってしまう脆弱性だ。 この脆弱性を使った攻撃の被害者はサイトを利用している利用者であり、サイトが直接的な被害に遭うことはない。この脆弱性を利用すると、攻撃者が意図した通りにブラウザをコントロールすること(たとえば、
第1回 まずは「クッキー」を理解すべし
Webアプリケーションのぜい弱性がなかなかなくならない。メディアなどでも盛んに取り上げられているにもかかわらず,である。特に,セッション管理がからむアプリケーションのぜい弱性には,気付かないことが多い。具体的には「クロスサイト・リクエスト・フォージェリ」(CSRF),「セッション・フィクセーション」などである。これらはクロスサイト・スクリプティング,SQLインジェクションといった比較的メジャーなぜい弱性に比べて認知度が低く,対策も進んでいない。 原因の一つは,アプリケーションの開発者が原因を正しく理解していないこと。CSRFやセッション・フィクセーションについて言えば,セッション管理に使うクッキー(cookie)の動作を理解していないと対策が難しい。ところが最近の開発環境では,セッション管理の仕組みが隠ぺいされているため,必ずしもこの知識は要求されない。こうした開発者は容易にはぜい弱性に気
Senses Blog 【悪用厳禁】SQLインジェクションのやり方。
SQLインジェクションで可能なこと。 ●認証のバイパス ●機密情報へのアクセス ●Webサイトの改竄 ●データベースの停止 近年、ウェブサイトを狙った攻撃が継続しています。今回はそのやり方を簡単に説明しようと思います。 ◎用意するもの ●ブラウザ(特に指定はありませんが最初からFirefoxを使っておくことをオススメします。後にFirefoxを使うからです。) ●やる気(これがないと物事は前には進みませんw) 用意するものはたったこれだけです。 まず、SQLインジェクションを実行するために知っておきたいことを簡単に書きたいと思います。 ◎データベースとSQLとはどのようなものか。 ●データベースとは 特定のテーマに沿ったデータを集めて管理し、容易に検索・抽出などの再利用をできるようにしたもの。 ユーザのIDやパスワード、その他Webサイトで利用されるデータが保管されている場所。
クッキーセッションハイジャック実験の方法 - パスワードセキュリティ研究所
実験を行うに当たって、他人の識別符号を使ったり、サーバのセキュリティホールを利用したりすると、不正アクセス禁止法に抵触し、逮捕されてしまいますので、あくまでも自分のアカウントの範囲で実験を行います。 当研究会の実験では、ブラウザとしてGoogle ChromeとWebTaster、パケット盗聴用としてWireSharkを使ってみます。 実験で調べるポイントは大きくは2つです。 クッキー盗聴で他人がログインできてしまうか その他人が、買い物だできたり、パスワードの変更ができたりと重要な操作が可能かどうか ※クッキーによるセッションハイジャックは、想定外の不正アクセスではありません。ですから、システム設計側は、ユーザを保護する意味でも、セッションハイジャックされた場合でも、ユーザの重要な情報にアクセスさせない仕組みが作られているかが肝になります。 <方法> まず、Chromeを使って、会員制の
最低限知っておくべきデバッグリスト : LINE Corporation ディレクターブログ
こんにちは。ライブドアでディレクターをしている渡辺です。 今回はウェブサイト開発で必須のデバッグ項目について紹介したいと思います。 携帯コンテンツのデバッグに関しては『ケータイコンテンツのデバッグ事情』で述べられているのでご覧ください。 一口にデバッグと言っても、コンテンツによって確認すべきポイントは異なってきます。 そこで、ここではコンテンツの内容に左右されずによく行われている、デバッグの基礎的なものをまとめました。 そもそもデバッグの目的はコンテンツを本来の仕様にすることです。 そのため、心がける点は一般ユーザーの視点よりは、「どこかにバグがあるんじゃないか?」と厳しい目でサービスをチェックしてくれるユーザーの視点に立って行うことです。 修正点を見つけたら、すぐマークアップエンジニアさんやプログラマーさんに伝えて対応してもらうことになります。 【01】異なるブラウザで確認する まずはブ
ダウンロードした画像をキャッシュするクラスの設計と実装について - 24/7 twenty-four seven
iOS組み込みのキャッシュモジュールNSCacheについて発表しました - ninjinkun's diary @k_katsumi キャッシュを分ける方のはわかりやすくて良いですね。後から読む人の参考になりそうなので、URL と URL の発言、ブログに引用させていただいても良いでしょうか。 2012-03-26 16:42:44 via web to @k_katsumi @ninjinkun はい。ぜひぜひー。せっかくなので便乗して僕がいつも使ってる画像キャッシュのコードを共有したりしてみます。 2012-03-26 16:45:05 via YoruFukurou to @ninjinkun @k_katsumi お、それは楽しみです!この手のものはみんな独自に作ってる感じだと思うので、参考にさせていただきたいですー。 2012-03-26 16:48:23 via web to
[iOS] iPhoneアプリの初回起動時に表示したい「おもてなし」ライブラリ4選 | アドカレ2013 : SP #10 | DevelopersIO
EAIntroViewはウォークスルー画面を簡単に追加できるライブラリです。 ウォークスルー画面のページの数だけEAIntroPageインスタンスを作成します。作成したEAIntroPageインスタンスを使ってEAIntroViewインスタンスを作成し、表示したいViewに追加することでウォークスルー画面を表示できます。 表示が終了した時やページをめくった時はdelegate経由で知らせてもらえます。 ウォークスルーの1ページを構成するEAIntroPageインスタンスは以下のようにいくつか作成方法があるみたいです。 タイトル・文章・背景・タイトル画像を指定して作成 UIViewからの作成 Nibからの作成 GitHubからダウンロードできるサンプルプロジェクトは7種類のウォークスルーを確認できるようになっており、参考になるかと思います。 作成例 - (void)showIntroWith
![[iOS] iPhoneアプリの初回起動時に表示したい「おもてなし」ライブラリ4選 | アドカレ2013 : SP #10 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/4f4e8887182f27d6b3a88d5f1f2b269ee874208d/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2013%2F12%2Fadvent_calendar_open_sp_10.png)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
14.8.デバッグ用チェックリスト
Comme Chinois コム・シノワ
株式会社フォー・クオリア