フレームワークのセキュリティ問題 - masaのメモ置き場
まとめたい。 フレームワークが持つ脆弱性に対して、開発者はどこまで認識すべきか 既知の問題だけ認識すればよいか? 未知の問題に対してどう取り組むべきか フレームワークを使用する場合、開発者はどこまでテストすべきか フレームワーク固有の問題に関しては一切テストしないと割り切るか 受け付けインタフェースを持つパラメータのテストまではカバーすべきか 受け付けインタフェースを持つパラメータを列挙できるか フレームワークの設計に起因する問題までカバーできるか フレームワークに起因する脆弱性が検出された場合、どう改修するか パッチが出ていない場合どうするか パッチが出ることを期待出来ない場合どうするか 報告→パッチリリースまでの期間に対するリスクをどう捉えるか ソースに手をいれるか
HTTPとHTTPSを併用するサイトでの安全なセッション管理 - masaのメモ置き場
12/12 22:40 こっちが正解?自信なし・・・ 考慮すべきは、 HTTPのページにアクセスするとセッション情報が奪われてしまう可能性がある HTTPのページにアクセスするとセッション情報が操作されてしまう可能性がある 2重ログインでセッション情報が奪われてしまう可能性がある の3点か?訳わかんなくなってきたので、また今度まとめなおし。。 HTTPページへのアクセス時 ・・・ HttpSession session = request.getSession(); if (session.getAtribute("AuthTicket") != null) { Enumeration e = session.getAttributeNames(); Map buff = new HashMap(); while (e.hasMoreElements()) { String key = (
エスケープだけしてれば、セキュリティ対策が万全になる訳ではないですよ - masaのメモ置き場
本題 「サニタイズ言うなキャンペーン」私の解釈 読みました。分かりやすくとてもよい記事だと思いますが、ホワイトリスト型のアプローチが補助的な対策であるとも読み取れてしまうこともありそうなため、エスケープだけしておけば大丈夫という誤った認識を持ってしまう開発者さんが増えてしまいそうなのが心配です。ということで、いちお書いておきます。 SQLの特殊文字をエスケープすることで対策可能なセキュリティの問題は、特殊文字が混在することにより構文が破壊されるといった限定された状況だけです。 例としては、SQLインジェクションの解説でよく取り上げられる select password from usertable where id = '入力値' 入力値に ' or '1' = '1 が与えられると・・・といった攻撃は防ぐことは出来ますが、 select password from usertable w
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
