[ThinkIT] 第1回:Webアプリケーションの脆弱性 (1/4)
ソフトウェア製品の脆弱性は毎年数多くのものが見つかっている。次のグラフは1998年から2004年までに、米国のセキュリティ情報サイト「SecurityFocus」に新たに掲載された脆弱性の記事数の推移を表したものである。 ソフトウェア製品の脆弱性については、最近は各ベンダーがいち早く情報を発信し、パッチを配布するようになってきた。読者の皆さんの職場でもパッチ当て作業に追われている担当者がいるかもしれない。 こうした製品の脆弱性は、ソフトウェアの専門家が発見し、しばらくのちにベンダーの技術者が修正パッチを提供してくれるので、多くのユーザにとってはそのパッチを当てればだいたい事は済んでしまう。 ところが、われわれの身近にありながら、このように問題への対処が行われていないソフトウェアのカテゴリーがある。それが、Webアプリケーションである。 いまや、インターネットにアクセスできるわれわれにとって
@IT: 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
ある日、大手SNS(Social Networking Site)のmixiの日記にこのような書き込みがあった。それも1人だけでなく、同日に数多くのユーザーの日記に同じ文面が掲載されていた。 これは、単にこのような文章がはやり、ユーザー自身が意図して掲載したのではなく、ある仕掛けによってユーザー自身が気付かないうちに引き起こされた現象なのである。その仕掛けとは、CSRF(Cross-Site Request Forgeries)と呼ばれる攻撃手法の一種だ。 編集部注: 現在、「はまちちゃん」トラップは、mixi運営者により対策されています。上記のサンプルは、mixi風に再構成したものです。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください
Java Tips:手軽に暗号化・復号化するには?
J2SE 1.4からはJCEやJAASなどの各種セキュリティパッケージが標準で組み込まれ,暗号化や復号化などは簡単に行えるようになりました。ここでは秘密鍵を用いた手軽な暗号化を紹介します。 暗号化は気を遣う プログラムで暗号を使いたいとき,自前で実装するのは非常に気を遣います。なぜなら,バグがあったときにデータが復元できなくなるため,慎重に実装したうえで十分にテストしておく必要があるからです。 前述のとおり,J2SE 1.4ではセキュリティパッケージが多数組み込まれたため,これらのロジックを自前で記述する必要性は大幅に低下しました。そこで,ここで簡単な利用法を紹介します。 暗号化・復号化は一般にバイト列を暗号化してバイト列にする,というのが標準的な使い方です。しかし,ここでは動作を確認しやすくする目的で,「テキスト→暗号バイト列→テキスト」という流れにしましょう。 手軽に暗号化 暗号関係の
PHP と Web アプリケーションのセキュリティについてのメモ
このページについての説明・注意など PHP は、Apache モジュールや、CGI、コマンドラインとして使用できるスクリプト言語です。このページでは、主に PHP における、Web アプリケーションのセキュリティ問題についてまとめています。 Web アプリケーションのセキュリティ問題としては、以下の問題についてよく取り挙げられていると思いますが、これらのセキュリティ問題について調べたことや、これら以外でも、PHP に関連しているセキュリティ問題について知っていることについてメモしておきます。 クロスサイトスクリプティング SQL インジェクション パス・トラバーサル(ディレクトリ・トラバーサル) セッションハイジャック コマンドインジェクション また、PHP マニュアル : セキュリティや、PHP Security Guide (PHP Security Consortium) には、PH
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IPA セキュア・プログラミング講座:Webアプリケーション編