XSSを防ぐために不可欠なサニタイジング(無害化)
前回「XSS脆弱性により起こる被害とその対策」は、XSS対策の重要なことの1つとして見落としがちな「入力チェック」があると解説した。今回は、その入力チェックとして特殊文字のサニタイジング(無害化)を中心に、セキュリティホールの対策について解説する。 特殊文字のサニタイジング(無害化) 前回までの入力チェックを確実に行っていれば、かなりセキュリティレベルの高いアプリケーションが出来上がっているはずである。しかしまだ完全ではないので、最後まで気を抜かないでいただきたい。ここでは、XSSを防ぐために不可欠なサニタイジングについて説明する。 XSSは、入力値をHTTPやHTMLの一部として出力する際に生まれるセキュリティホールである。これは入力値に含まれるいくつかの文字がHTTPやHTMLで特殊文字として定義されていて、それらの文字をそのまま出力してしまうことにより起こる。 XSSとは関係ないが、
mod_securityのXSS対策ルールを作成する
mod_securityのXSS対策ルールを作成する:Webアプリケーションに潜むセキュリティホール(12)(1/2 ページ) ※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 前回は一般的なWebアプリケーションファイアウォール(WAF)に関する説明と、mod_securityのインストールおよび簡単な使い方について説明した。今回はもう少し実用的な設定を考えてみることにする。本稿で説明するmod_securityのルールは、一般的
エラーメッセージの危険性
※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 完璧なアプリケーションをいきなり作り上げられる人はまずいないだろう。多くの人はアプリケーション中にデバッグ用のメッセージやコメントを残しながら開発を進めていくことになる。またユーザーにとって重要なのがエラーメッセージである。エラーメッセージを頼りにアプリケーションを利用していく。しかし、ユーザーにとって有用な情報なのだが、同様に攻撃者にも有用な情報を与えてしまうことにもなることがある
増加するP2Pトラフィックをキャッシュサーバーで緩和
ISPにとって、P2Pソフトウェアによって発生するトラフィックをどう管理するかという点は悩みの種だ。P2Pによるファイル交換が普及して以降、日本ではWinMXやWinny、海外ではBitTorrentやeDonkeyといったファイル交換ソフトが、ISPのバックボーンにおけるトラフィックの中でかなりの割合を占めるようになっている。ISPにおいては、バックボーンのコスト負担をいかに安く抑えるかという観点から、ユーザーのパケット転送量に上限を設ける対策を行なっているところも少なくない。 しかし、最近は合法的なコンテンツの配信にP2P技術を利用する例も少しずつではあるが増加している。ISPとしては、ユーザーのP2Pソフト利用に制限を加えず、かつトラフィックの増加を最小限に抑えることで、バックボーンコストを抑制する方法を考える必要に迫られている。英国のCacheLogicは、そんな一見相反することを
Yahoo | Mail, Weather, Search, Politics, News, Finance, Sports & Videos
Revered Hollywood character actor M. Emmet Walsh dies at 88
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
サイト管理人的同人企画 「ネギま!で遊ぶ‥‥エーミッタム!!」発売告知 - アキバBlog