OWASP Japan 1st Chapter Meeting | 水無月ばけらのえび日記
公開: 2012年3月30日2時10分頃 「OWASP Japan 1st Chapter Meeting (www.owasp.org)」というイベントがあったので参加してみました。 以下、ざっくりしたメモを箇条書きに。 OWASP / OWASP Japanについて最初はOWASPとOWASP Japanの紹介。 OWASPは "The Open Web Application Security Project" ですが、最近はモバイルのセキュリティも扱っているというような話も。 5分でわかるCSPここからプレゼンテーション。各自持ち時間10分なのでライトニングトークに近いです。 一発目は、はせがわようすけさんの「5分でわかるCSP」。プレゼン資料が以下で公開されています。 http://utf-8.jp/public/20120327/owaspj-csp.pptx (utf-8.j
処理開始後の例外処理では「サニタイズ」が有効な場合もある
このエントリでは、脆弱性対処における例外処理について、奥一穂氏(@kazuho)との会話から私が学んだことを共有いたします。セキュアプログラミングの心得として、異常が起これば直ちにプログラムを終了することが推奨される場合がありますが、必ずしもそうではないというのが結論です。 はじめに Webアプリケーションの脆弱性対策では、脆弱性が発生するのはデータを使うところであるので、データを使う際の適切なエスケープ処理などで対処するのがよいと言われます。しかし、処理内容によってはエスケープができない場合もあり、その場合の対処についてはまだ定説がないと考えます。 エスケープができない場合の例としては、以下があります。 SQLの数値リテラルを構成する際に、入力に数値以外の文字が入っていた メール送信しようとしたが、メールアドレスに改行文字が入っていた 入力されたURLにリダイレクトしようとしたところ、U
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
