第5回 クロスサイト・スクリプティング対策も忘れずに
最近問題となっているWebサイトの改ざんは,サイトの改ざん自体が目的ではなく,改ざんされたコードを参照した一般ユーザーを危険なサイトに誘導して,マルウエアを導入することを最終的な目的としている。この目的のため,HTMLのIFRAME要素やSCRIPT要素が利用される場合が多い。 先に説明したように,SQLインジェクションのぜい弱性を利用してデータベースの内容を,これら要素を使った内容に書き換えることが可能な場合がある。それでも,その内容をそのまま表示するかどうかはサイトの作りによって異なる。 一般的にデータベース中の「<」などの特殊記号をそのまま表示するとクロスサイト・スクリプティングのぜい弱性(XSS)の原因となるので,表示の際にこれらの文字をエスケープすることが行われる(図1)。 現実には多くのサイトにおいて,SQLインジェクションによって挿入されたIFRAME要素やSCRIPT要素が
MOONGIFT: Web2.0時代のセキュリティ査定ツール「Ratproxy」:オープンソースを毎日紹介
ブラウザが多用されるようになり、ローカルのアプリケーションだけだった時代では想定されなかったセキュリティリスクが出てきている。そして、それらの問題に対応するべく様々な情報がインターネット上に掲載されている。 レポート だが一般ユーザはもちろん、ITに詳しい人であっても、それらの情報を活用しているとは言い難い。情報を元に、どのような施策を行うか、それが重要だ。 今回紹介するオープンソース・ソフトウェアはRatproxy、グーグラーが開発したWebアプリケーションセキュリティ査定ソフトウェアだ。 Ratproxyはいわゆるプロキシとして動作するソフトウェアだ。デフォルトで8080を使って立ち上がる。後はブラウザのプロキシを設定して、様々なサイトを閲覧すれば良い。結果はログファイルに吐き出され(ファイル名を予めしておく必要がある)、その結果を解析してレポートを作成してくれる。 実行中 検査する項
MAD削除について、ある権利者側の人間の感想… - Life in Prison/生きるしかすることがない
ニコ動に対して、MADの削除を要請するってはなしは、実はもっと前から出てた話。動画協会経由で、アニメ業界として「MADはNO」を明確に表明するという内容の檄文?みたいのが4月ぐらいだったかには回ってきてた。 その後しばらく音沙汰が無かったので、どうなったのかなと思っていたら、この発表だったので、他の団体と歩調を合わせて交渉してたんだと、納得。 動画協会ってのはアニメ制作の会社が集まっている団体ってことになってるのだが、微妙に配信の会社とかも入っていて、ニコ動がi-modeの公式になったときに、動画協会として正式にDoCoMoに抗議したのだが、その旗振り役が、そういう会社だったりもしてた。 おっと、話がそれた。で、一応コンテンツホルダー側で働いていて、さらに、ニコ動なんかともろにぶつかる配信事業を担当している人間として、今回のMAD削除について思った事を書いておこうかと思う。 正直な所、「権
猫を助けたい…火事の中飛びこんだ大学生死亡 : 痛いニュース(ノ∀`)
猫を助けたい…火事の中飛びこんだ大学生死亡 1 名前:☆ばぐた☆ ◆JSGFLSFOXQ @☆ばぐ太☆φ ★ 投稿日:2008/07/03(木) 18:34:25 ID:???0 猫を助けたい…火事の中飛びこんだ大学生死亡 3日午前0時50分ごろ、大阪市生野区の木材店「川音木材」から 出火、木造2階建てを焼き、付近の家屋など7棟に延焼、計約900 平方メートルを焼いた。 近くの家屋の焼け跡から大学4年生前田尚人さん(21)の遺体が発見され、 マンションの男性住人2人が煙を吸い込んで軽症。 生野署の調べでは、前田さんは一度避難したが、猫を助けるため、自宅に戻り、 煙に巻かれたとみられる。 付近の住民は「ボーン」という爆発音を聞いており、同署などが出火の原因を調べている。 http://www.sponichi.co.jp/society/flash/KFullFlash20080703027
高木浩光@自宅の日記 - EV SSL導入に伴い生じ得る特有の脆弱性
ANSER WEBというASPサービスでインターネットバンキングを提供している金融機関が、EV証明書を導入した理由は、「NTT DATA CORPORATION」という社会的信頼の高い企業による運営であるという表示によって、利用者に本物サイトであることの確認手段を提供したことにあるのだから、これらの金融機関は、利用者が「NTT DATA CORPORATION」という名称さえ見てくれればいいことを前提としている。 しかし、もし、図3のように、ドブログのようなサイトでまで緑色で「NTT DATA CORPORATION」と表示されるような世の中になってしまったら、どうなのだろうか。 まず、少なくとも、EV証明書導入サイトがやってはいけないことがある。 もし、ドブログのユーザコンテンツ(つまりブログ)のページが、https:// でも表示できるようになっていたらどうか。どこの馬の骨ともわからな
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
でも、市場淘汰は処女性を想起しやすいキャラを選んできたわけですよ - シロクマの屑籠
日本弁護士連合会と死刑廃止議員連盟で意見交換