ヤフーにおけるインプットバリデーション「何も信じるな」 (Yahoo! JAPAN Tech Blog)
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、R&D統括本部 開発推進室 セキュリティプラットフォーム技術 セキュリティスペシャリストの戸田 薫です。 今回は、私たちが普段からヤフーのシステムに対する入力にどのような注意を払っているのか、そのいくつかをご紹介致します。 入力とは? Webサイトを運営している場合、どのような入力があるでしょうか? たとえば、Webサービスには、以下の入力があります。 Cookie URL GET/POSTのデータ ファイルのアップロード その他リクエストヘッダ そのほかにもいくつもあります。 環境変数 設定ファイル クローラが取得したデータ パートナー企業のAPIから取得したデータ(XMLやJSONなど) パートナー企業の入稿用 F
優先すべきは内部からの脅威対策 − @IT
データベース自体にセキュリティ対策を行う必要性を感じている管理者も多いかと思いますが、どこから手を付ければいいのでしょうか?本連載では、データベースセキュリティを実装するポイントをていねいに解説します(編集部) 機密情報が格納されたデータベースは、情報漏えい、流出によるリスクが高いにもかかわらず、多くの企業で十分な対策が講じられていないのが現状です。本連載では、データベースセキュリティはどうあるべきか、その前提となる現状の把握、コントロールすべき要素は何かを、データベースコンサルタントの視点で解説していきます。 対策不十分なデータベースセキュリティ 企業内のデータベースには機密性の高い情報が蓄積されているだけに、その情報の損失による被害は非常に大きいといえます。多くの企業がそうしたリスクを認識しているはずなのに、情報漏えい、流出の事故はあとを絶ちません。情報セキュリティに関して細心の注意を
社員が使うPCのセキュリティが不安 - @IT
三木 泉 @IT編集部 2009/11/4 社員が使うPCにどのようなセキュリティ対策を実施すべきなのか分からない。何から取り掛かればいいのだろうか? 企業におけるセキュリティ対策では、社内で働く人たちに関するセキュリティが非常に重要な要素を占めます。 もちろん企業のプライベート・ネットワークに何者かが侵入し、重要な情報を持ち出す、あるいは業務を妨害するようなリスクに対応するネットワークセキュリティ対策は不可欠です。 しかし現実のリスクとして、社内で働く人たちの行動に起因するセキュリティ侵害のほうがはるかに高いのです。社内で働く人たちにかかわるセキュリティ対策としては、これらの人たちの利用する端末(PC)のセキュリティ対策をまず考えるべきです。 ウイルス対策は当たり前の対策 PCのセキュリティで最初に取り上げるべきは、やはりウイルス対策です。ウイルス対策を実現するには、 ウイルス対策ソフト
よりセキュリティを高めるための設定: LM ハッシュを無効にする
Windows 2000 / XP / Server 2003 でログオンパスワードを使用している場合、「LM ハッシュ」と「NTLM ハッシュ」という、別々の 2 つの方法によって暗号化されます。このうち「LM ハッシュ」については簡単に解読できてしまうことが知られており、そのためのツールも広く公開されています。 Windowsのパスワードをわずか数分で解析する「Ophcrack」の使い方 (gigazine) Windows 2000 / XP / Server 2003 では、「LM ハッシュ」が保存されないように設定することを強く推奨します。 保存されないようにするには、2 つの方法があります。 KB299656 に従ってグループポリシーやレジストリを設定した後に、パスワードを更新する。 15 文字以上のパスワードを設定する。 レジストリ設定用の .reg ファイルを用意しました。
Windows必携の無償セキュリティツール10選 - builder by ZDNet Japan
Windowsコンピュータの保護やウイルス除去、管理に用いることができる、Windowsユーザーにとって必携の無償セキュリティツールを10個紹介しよう。 #1:Secunia Personal Software Inspector トップを飾るのはSecunia Personal Software Inspectorだ。このツールはおそらく、Windowsマシン上で実行できる無償アプリケーションの中で最も役に立ち、かつ最も重要なものである。 このツールを用いることで、PC上にインストールされているすべてのアプリケーションをスキャンし、セキュリティパッチ/アップデートが必要なアプリケーションを特定することができる。 このツールはまず、あなたのコンピュータに格納されているファイルを検査し(検査するファイルは主に、拡張子が.exeと.dll、.ocxのいずれかのものである)、特定のソフトウェアビ
第11回 スクリプトインジェクションを防ぐ10のTips | gihyo.jp
前回はスクリプトインジェクションがなくならない理由を紹介しました。それをふまえて今回はスクリプトインジェクションを防ぐ10のTipsを紹介します。 デフォルト文字エンコーディングを指定 php.iniには、PHPが生成した出力の文字エンコーディングをHTTPヘッダで指定するdefault_charsetオプションがあります。文字エンコーディングは必ずHTTPヘッダレベルで指定しなければなりません。しかし、デフォルト設定ではdefault_charsetが空の状態で、アプリケーションで設定しなければ、HTTPヘッダでは文字エンコーディングが指定されない状態になります。 HTTPヘッダで文字エンコーディングを指定しない場合、スクリプトインジェクションに脆弱になる場合あるので、default_charsetには“UTF-8”を指定することをお勧めします。サイトによってはSJIS、EUC-JP
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
知っていますか?脆弱性 (ぜいじゃくせい) - 情報処理推進機構(IPA)