クッキーに隠されたSQLインジェクション、対策は?
Cookieの値にSQLインジェクションが含まれていますが、注目すべきポイントはCookieに含まれているその形式です。URLの“/index.asp”の後に続くべきパラメータがそのままCookieに含まれています。ASPのRequestオブジェクト(ASP.NETの場合、HttpRequest.Params)を使っている場合、クエリ文字列やフォーム以外からでもデータを読み込めます。もしRequestオブジェクトから読み込んだデータの取り扱いにSQLインジェクションの脆弱(ぜいじゃく)性がある場合、データベースを操作されてしまいます。 IIS/ASPの機能を悪用 今回の攻撃手法のもう1つの特徴は攻撃のリクエストに“%”を含ませることでセキュリティ機器の検知機能の回避を狙っていることです。%文字を含んだSQLインジェクションは以下のようなリクエストになっています。 色を付けた「DE%CLAR
HTML5が持つ本当の意味 ― @IT
2008/01/25 ウェブ関連技術の標準化団体「W3C」(World Wide Web Consortium)が「HTML5」の策定に向けて活動を本格化しました。1月22日には「HTML5」の最初の草案を公開。2010年9月に正式な勧告としてリリースする予定だと発表しました。 普段からウェブ関連技術をウォッチしている方は別として、「なぜ今ごろ?」と、この突然のW3Cの動きに驚かれた方が多いのではないでしょうか。「そもそもW3Cがやる意味があるの?」という疑問の声も聞こえてきそうです。 標準化団体としてのW3Cのプレゼンスは、近年あまりに高いとは言えません。かつて1990年代後半から2000年ごろにかけて、誰もがW3Cの一挙手一投足に注目していた時期がありました。彼らの出してくる標準技術仕様こそが、インターネットを形成する共通言語だと、多くの人が信じていました。 ところが、現在広く使われて
一番初めのObjective-Cプログラム - @IT
一番初めのObjective-Cプログラム:Cocoaの素、Objective-Cを知ろう(2)(1/3 ページ) iPhone用アプリケーション開発で注目を集める言語「Objective-C」。C++とは異なるC言語の拡張を目指したこの言語の基本を理解しよう(編集部) 第1回「Objective-Cは特殊な言語?」では、Objective-Cのコードの「見た目」の第一印象に基づいて、この言語の特徴的な部分と、その成り立ちについて解説しました。 今回は、ごく簡単なプログラムを実際に作って動かしてみることで、より具体的な領域に踏み込んでみたいと思います。 少しだけ複雑なHello World こういった場面で最初に作られるのは、たいてい「Hello World」という文字列を表示するプログラムです。ここでも、最終的には文字列を表示することを目的とするシンプルなプログラムを作成しますが、そこに
まつもと×笹田、Ruby 1.9を語る ― @IT
2007/12/25 「そういえばあのretryの話、どう思う?」、「誰も使ってないから害悪が多いっていう話は説得力ありますよね」、「じゃあなくすか……、うん、なくしといて」、「あ、決まっちゃった(笑)」――。 まつもとゆきひろと、笹田耕一。いま、世界が注目するプログラミング言語「Ruby」の生みの親と、開発コアメンバーの2人は、こともなげにRubyの仕様を記者の目の前で変更してしまった。Rubyの開発はどのように行われ、どこへ向かおうとしているのか。現行のバージョン1.8系から大きく様変わりする次期開発版「Ruby 1.9」のリリースを12月25日に控えた2人に、師走の秋葉原で話を聞いた(文中、敬称略)。 Rubyの仕様は密室で決まる!? 冒頭に紹介した2人の会話は、「retry」というRubyの文法の2種類ある使い方のうち、これまでほとんど使われた形跡がない方を文法仕様から取り除くかど
.NET TIPS 文字列のひらがな/カタカナをチェックするには? - C# - @IT
ここで、次に示すように表中のブロック名の先頭に“Is”を付け文字列を中カッコでくくり、“\p”を付けたものが正規表現における「名前付き文字クラス」となる(文字列が漢字だけからなるかどうかのチェックは実際の業務システムではあまりないと思われるが、参考までに漢字についても併記しておく)。 \p{IsHiragana} \p{IsKatakana} \p{IsCJKUnifiedIdeographs} これらの正規表現はブロック名が示す範囲に含まれる文字と一致する。よって、例えばひらがなだけからなる文字列と一致する正規表現は次のようになる。 ^\p{IsHiragana}*$ ここで、“^”は行頭、“$”は行末にマッチし、“*”は直前の要素の0個以上の繰り返しにマッチする。正規表現とそのプログラミングについては「スマートな文字列処理のための正規表現入門」で解説されているのでそちらを参考にしていた
簡単なXML Schemaから始めよう
この連載では、XML Schemaについて解説します。簡単なXMLの構造をXML Schemaにより記述できるようになることを目標に、XML Schemaの概要、要素・属性の定義、Complex TypeやSimple Type、属性グループについて解説していきます。連載を読むに当たり、整形式のXMLに関して十分理解していることを前提とします。 XMLの構造を表すスキーマ言語とは? XML Schemaはスキーマ言語です。ところで、「スキーマ言語」とは何なのでしょう?そもそも「スキーマ」とは何なのでしょう? スキーマとは、XMLの構造です。「いつ、どの要素が出現するのか」「その要素にはどのような属性があるのか」など、XMLの木構造についての定義がスキーマです。そして、スキーマを記述する言語が「スキーマ言語」です。 例えば、インターネットショップなどでWebを通して商品を購入するとします。こ
『XSLTスタイルシート書き方講座(1):XSLTスタイルシートの基礎の基礎』
XML関連規格の中でも、XSLTは比較的早い時期(1999年11月16日)にW3C勧告となった規格です。その理由は、異なるデータフォーマット(すなわちスキーマ)を使う企業間でデータ交換をする場合など、XSLTを使ってXMLデータの構造変換をする必要性が高かったからです。では、XSLTとは何物なのでしょうか。また、XSLTは、どのように書いたらよいのでしょうか。この記事は、XSLTの書き方を初心者の方にも取り組みやすく解説します。 XMLを自由に変換するXSLT XMLはデータの論理的な構造を記述するための言語ですから、XMLによって記述されたXML文書(以下XMLデータ)には、それがどんな体裁でWebブラウザや紙などに表示されるべきかを指示するレイアウト情報(スタイル情報)は含まれていません。そのため、あるXMLデータを表示するためには、 XMLデータの構造を、(Webブラウザなどの)フォ
@IT:Webアプリケーションに潜むセキュリティホール(1)
※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 最近Webアプリケーションに存在するセキュリティホールが注目を浴びている。その中でも「クロスサイトスクリプティング(XSS)」と呼ばれる脆弱性が有名で、「特集 クロスサイトスクリプティング対策の基本」という記事で詳細に解説した。しかし、Webアプリケーションに潜む脆弱性はXSSだけではなく、XSSよりもはるかに危険性の高いセキュリティーホールが存在する。 本稿では、Webアプリケーシ
「解読不能は数学的に証明済み」、RSAを超える新暗号方式とは ― @IT
2008/04/11 すべての暗号はいずれ破られる。2000年前のシーザー暗号の時代から高度な暗号技術が一般化したデジタル通信の現代に至るまで、それが暗号通信の歴史が証明し続けた事実であると同時に、もっとも人口に膾炙したクリシェでもあった。例えば、鳴り物入りでリリースされたDVDのコンテンツ暗号技術「CSS」(Content Scramble System)が、リリースからわずか数年で10代のノルウェー人ハッカーに破られたことは記憶に新しい。 【追記】(2008年4月15日) この記事は取材に基づいて執筆したものですが、一部専門家らから「CAB方式暗号は解読不能」というのは誇大表現ではないかとの疑義が呈されています。アルゴリズムの公開や第三者による検証がない現在、この記事に登場するCAB方式が発案者・実装者の主張通り画期的な暗号方式で、本当に解読が不可能であるかどうか分かりません。現在、専
ゼロ円でできる仮想化(1/3)
ゼロ円でできる仮想化 VMware Serverのインストールから管理まで 無償で提供されている仮想化ソフトウェア「VMware Server」は、SOHOや小企業でのサーバ集約やレガシー環境の保全に適している。そのインストールから仮想マシンの構築、管理方法までを解説する。(編集局) 北浦訓行 2008/3/27 サーバ集約だけじゃないVMware Serverのメリット 「VMware Server」(http://www.vmware.com/products/server/)は、米国ヴイエムウェア社が無償で提供している仮想化ソフトウェアです。ヴイエムウェアの無償ソフトとしては「VMware Player」がよく知られていますが、VMware Serverには、以下のような特徴があります。 仮想化エンジンと管理画面が分離している 仮想マシンの作成機能がある 仮想マシンのハードウェア構成
一足早く「Plagger」の便利さを実感してみよう − @IT
2006年初頭から「Plagger」という技術が、一部で話題になりました。まだまだ知名度が低い「Plagger」ですが、便利でカスタマイズ性が高いものなので、2007年では爆発的に流行するかもしれません。豊富なプラグインを自在に組み合わせ、欲しい情報を収集し、加工して出力するPlaggerの仕組みや使い方を紹介します。 1. 何でもできる? Plaggerの正体に迫る 今回は話題のPlagger(プラガー)を取り上げます。 この連載を読んでいる読者の皆さんは、ネットワーク技術や知識に興味を持っている人が多いでしょうから、「Plagger」という単語は一度は耳にしたことがあるでしょう。しかし、Plaggerという言葉を聞いたことはあっても、いったいどんなものかピンと来ない人もいるかもしれません。今回はPlaggerがどういった働きをするか? その動きの仕組みなどを中心に紹介していきます。 ●
IT業界不人気の理由は? 現役学生が語るそのネガティブイメージ ― @IT
2007/10/31 最近の新卒採用で人気が低迷する国内IT業界。不人気の理由は何なのか、人気回復はできるのか。情報処理推進機構(IPA)は10月30日のイベント「IPAフォーラム2007」で、IT業界の重鎮と理系学生による討論会を開催した。テーマは「IT産業は学生からの人気を回復できるのか」だ。 討論したのは、東京大学、筑波大学、日本電子専門学校の現役学生10人とIT業界の重鎮2人。IT業界の重鎮とは、自身ではメインフレーム開発しか行ったことがないというNTTデータ 取締役相談役で、情報サービス産業協会 会長の浜口友一氏と、TISの代表取締役社長 岡本晋氏だ。加えてIPA理事長の藤原武平太氏が答えた。 そもそもイメージがわかない 「IT産業へのイメージ」との質問に対して学生の1人は「IT産業は自分たちの生活に欠かせないもの、生活を支えてくれる基盤である」と優等生な回答。しかし、別の学生か
いまさら聞けない“Web標準”、そしてXHTML+CSS
いまさら聞けない“Web標準”、そしてXHTML+CSS:いまさら聞けないリッチクライアント技術(4)(1/3 ページ) 前回の「いまさら聞けない、“Ajax”とは何なのか?」の説明の中で、Ajaxの定義の1つとして「XHTMLとCSSを使った標準規格のプレゼンテーション」というのがありました。前回の記事では、この部分をしっかり解説できなかったので、今回はこれについて解説をしましょう。 といっても、Ajaxの補足説明が今回の目的ではありません。HTML/XHTMLとCSSを使った「Web標準」について紹介します。 「Web標準」という単語はよく耳にしますが、具体的にどんなものか? HTML/XHTMLとCSSとどのような関係があるのか? さらに、HTML/XHTMLやCSSって何? といった点について見てみましょう。 「Web標準? Webを標準化することかな?」 AjaxやXML、Jav
冷却ファンに“植毛”、静音に新アプローチ ― @IT
従来は流線型にするなど形状を工夫することで風切り音を抑えてきたが、柔毛材の植毛や表面の柔らかさの制御することで「空力発生音」を低減する――。9月12日に東京・大手町の東京国際フォーラムで始まった「イノベーション・ジャパン2007―大学見本市」の会場で、そう説明するのは鳥取大学工学部機械工学科教授の西村正治博士だ。クルマ、高速車両、航空機、送風機など、風切り音を発生させるものなら、何でも静音化の対象だ。 風切り音は高速に動く物体に空気が当たるときにできる圧力変動によって発生する。例えば円柱に対して真横から空気を流した場合、円柱に空気が当たる“上流”部分で流れは二手に分かれ、円柱の反対側の“後流”部分で2本の空気の流れが合流する。このとき、空気の流れが物体から剥離し、後流に強い渦ができる。 西村教授は基礎研究で、円柱に柔毛をぐるりと巻き付けることで、広い周波数の騒音を5~8dB低減できることを
業務用途でRubyを使う上での課題 - @IT
Rubyがビジネスの現場で静かに普及し始めている。Twitterや、はてなスクリーンショットなど、Webサービスの開発フレームワークとしてRuby on Railsを使った例は、いまや珍しくなくなった。Rubyを普及推進する「Rubyアソシエーション」という法人格を持つ団体が設立されたことや、Rubyが一般紙などマスコミで取り上げられる機会が増えたことなどから認知が進んでいる。 国内の大手でも、例えば楽天がRuby on Rails導入を進めている。楽天技術研究所の森正弥氏によれば、「現在、楽天で使う開発言語は40%がPHP、40%がJava、20%がその他」とRubyの利用率は低いが、内部的にRubyの利用を進めているほか、今後はユーザーの目に触れるフロント部でもRubyの適用を進めるという。 7000台のサーバ、1000人の開発者という大所帯を抱える楽天だが、より広くRubyを使うに当
「初級シスアド」消える――情報処理技術者試験が大改革へ ― @IT
2007/09/07 情報処理推進機構(IPA)は9月7日、情報処理技術者試験を改革する中間報告を発表した。同日からパブリックコメントを受け付けて、最終報告を11月にまとめる予定。人気の「初級システムアドミニストレータ試験」が別試験に吸収されるなど、大変革といえそうだ。 改革の柱は2つだ。現行試験は情報システムの開発側と利用側にカテゴリが分かれているが、この区別を取り払い、開発側と利用側で試験を共通化する。IPAの情報処理技術者試験センター長の澁谷隆氏は「ベンダ側と利用側が同じレベルになってきちんと会話できないと、有効なシステムは作れない」と改革の狙いを説明する。もう1つはこれまでになかったレベル分けの導入だ。ITスキル標準や組み込みスキル標準、情報システムユーザースキル標準との整合化を図り、これらのフレームワークで導入されているレベル分けを情報処理技術者試験にも適用した。 新試験では、新
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
jQueryを使ってTwitterをおいしくマッシュアップ (1/4) ─ @IT