Blog|URLの取り扱いには要注意!SSRFの攻撃と対策
SSRF (Server Side Request Forgery : サーバーサイド・リクエスト・フォージェリ)は、外部から到達できない領域にあるサーバーなどに対して、バグを悪用することでリクエストを送る攻撃手法・脆弱性です。 この一言だけではリスクの大きさや、この問題がなぜ発生するのかが想像しづらいと思います。そこで本記事では、SSRF が起きる原因を解説したあと、脆弱性の影響について攻撃シナリオをベースに説明していきます。 最後にそれらを踏まえた上で、どのようにして SSRF が発生しないコードを記載するか、またコードレビューの中で問題を見つけるのか等、対策についても触れていきます。 扱うリスクシナリオとしては「内部 API を悪用した侵入」および「クラウドベンダーが用意する管理用 API を悪用したクレデンシャルの奪取」となります。 SSRF の概要冒頭で SSRF とは「外部から
Blog|PHP における脆弱性との向き合い方とその対策方法
PHP は Web サイト、Web アプリケーション、CMS(コンテンツ管理システム)等で、広く使われている言語です。 習得コストが比較的低く始めやすいために、実際に業務でもPHPを用いて開発・運用しているプロジェクトも多いのではないでしょうか。 また Web アプリケーションのみならず、WordPress や Joomla! といった PHP による CMS で構築されたブログ・Web メディアサイトも多く見かけるようになりました。 お問い合わせフォームを、フレームワーク/ライブラリを用いずに実装するケースもあるでしょう。 PHP は、その人気の高さゆえに利用者も多く、さまざまなプロジェクトで稼働しているため、不正アクセスのターゲットになっています。 今回は、PHP とその環境下で動作する Web アプリケーションに焦点を当て、新しく出てくる脆弱性との向き合い方をお伝えします。 PHP
Blog|油断できないSQLインジェクション。その種類とWebアプリにおける対策
SQL インジェクション(SQL Injection、略称: SQLi) は、バックエンドにおけるデータベース操作に悪意のある SQL クエリを意図的に注入して、データベース内のデータに不正にアクセスできてしまう脆弱性および攻撃手法です。 データベースには、企業の機密情報や顧客の個人情報などが保存されているため、攻撃者はこの機密情報を狙って取得を試みようとします。 SQL インジェクションは、攻撃が成功すると被害は Web アプリケーション内に留まらず、情報漏えいという形でビジネスに悪い影響を与えます。 ユーザーリストを不正に表示できたり、データベースのテーブル全体の削除できたり、場合によっては攻撃者がデータベースの管理者権限を取得できたりする可能性もあります。 SQL インジェクションによって顧客の個人情報(電話番号、住所、パスワード、クレジットカード情報など)が漏えいした場合、企業とし
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
