@IT:クロスサイトスクリプティング対策の基本
最近Webアプリケーションに存在するセキュリティホールが注目を浴びている。その中でも「クロスサイトスクリプティング」と呼ばれる脆弱性が有名であるが、クロスサイトスクリプティング脆弱性について正確に理解している人が依然として少ないと感じる。 本稿では、クロスサイトスクリプティングとはどのような脆弱性であるのか、この脆弱性を持ったサイトが攻撃されるとどのような被害が起き得るのか、なぜそのようなセキュリティホールが作り込まれてしまうのか、どのように対策をすればよいのかを解説していく。 ※以下本文中では、クロスサイトスクリプティング脆弱性のことを「XSS」と表記する。「Cross Site Scripting」の略であるから「CSS」と表記している記事もあるが、「Cascading Style Sheets」の略も「CSS」となり紛らわしいため、「XSS」と表記する場合が多くなってきている。本稿で
mixi Scrap Challenge - 学生向けイベント - mixi engineer blog
こんにちは。坂本です。 今年も、就職活動の時期ですね。 弊社ではそんな中、mixi Scrap Challengeという学生の方々向けのセキュリティイベントを開催させていただいております。現在、こちらで第2回目の参加者を募集中です。 今回の記事では、2011/12/4に行われた第1回の様子を紹介させていただこうと思います。 mixi Scrap Challenge 普段WEBアプリケーションを開発している学生の皆さんに、セキュリティに関する意識をより高めてもらおうというイベントです。 守るためには、攻める側がどういう方法で攻撃してくるか?どんなことを考えてるのか?を知ることも大切です。そこでmixi Scrap Challengeでは、運営スタッフがmixi風の特設サイトを用意して、参加者に脆弱性を探して攻撃してもらいます。その後スタッフから、サイトがどう対策すれば脆弱性を防げるかを解説す
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
AKB48とオープンソース - 旧AKB48研究生@東京大学→さくら学院@上海→ただの水野オタ
東大の元院生が2012年に現代アイドルをテーマに修士論文を書き上げるまでの軌跡です。現在はぬくぬくBABYMETALを聴いてます。 「AKB48はオープンソースである」という仮説について書きたい。そもそもオープンソースとは何か。 エリック・レイモンドの刺激的な論文「伽藍とバザール」を、バロウズの翻訳者としても知られる山形浩生の訳でわれわれはウェブ上で見ることができる。 これまでのソフトウェアは、たとえるなら静かで荘厳な「伽藍」だ。マイクロソフトのような巨大企業が優秀なスタッフを雇い独自に開発したソフトを顧客に売る。「作り手」と「買い手」は厳密に別れており、参加者は限られている。 対してオープンソースは騒がしく人の行き交う「バザール」のイメージだ。初期段階からソフトウェアを無償で公開し、参加者を限定せず、次々に改良を加えていくことでソフトの性能が飛躍的に向上していく。 梅田望夫は「ウェブ進化
伽藍とバザール
Eric S. Raymond 著 山形浩生 YAMAGATA Hiroo 訳 リンク、コピーは黙ってどうぞ。くわしくはこちらを見よ。 プロジェクト杉田玄白 正式参加作品。詳細は http://www.genpaku.org/ を参照のこと。 1999/07/30版、1999/08/16訳更新, 2000年5月2日更新 原文の最新版はhttp://www.catb.org/~esr/writings/cathedral-bazaar/にて各種フォーマットで入手可能。 翻訳の pdf 版はhttps://cruel.org/freeware/cathedral.pdfにある。 翻訳の PostScript 版 (tar+gzip圧縮)はhttps://cruel.org//freeware/cathedral.tgzにある。 第 2 部 「ノウアスフィアの開墾」 (Homesteadi
人気の「100均人形シリーズ」動画 125本 - ニコニコ動画
今更ですが100均人形カスタムです。野生のお父様たちにあこがれてつい。既にフィギュアが多数発売されている中、あえて綾波を作ってみましたw 当方、カスタムドールは... かわいいw てるてるぼうず アルエじゃん おk すごーい ww ぼくらの見たいになってるぞw いいじゃん!すげー 綾波すき お坊さんみたい 湯浅? リキテックスで描いた方がいいですよ顔は おお こええw 使徒を肉眼で確認ww アルエは原曲よりこっちの...
【追跡ネット犯罪(4)】不正ログインして炊飯器を買った乗っ取り野郎の発送先に米持参でご挨拶に伺ってみた
【追跡ネット犯罪(4)】不正ログインして炊飯器を買った乗っ取り野郎の発送先に米持参でご挨拶に伺ってみた GO羽鳥 2012年2月15日 何者かに楽天市場のアカウントを乗っ取られた私(本誌記者)。調べてみると、乗っ取り野郎は私のアカウントでえらい高級な炊飯器(5万6800円)とデジカメを購入していた。発送先は大阪某所。これだけのことが分かっているのに、現時点の状況では、警察としては何もできないのだという。 そのいきさつは、シリーズ『追跡ネット犯罪(1)』と『追跡ネット犯罪(2)』と『追跡ネット犯罪(3)』でお伝えした通りであるが……私は居ても立ってもいられない心境だった。なんせ大阪に私と同じ名前の人がいるのである。私の名前は、実はメチャクチャ珍しい系の名前なのだが、その名前を名乗る人物が確実にいるのである。 ・ご挨拶に行こう いや、実際には存在しないのかもしれないが、私の名前だと分かっていな
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
株式会社ミクシィ 学生向けエンジニアイベント "Scrap challenge 2011"の参加者tweetまとめ
俺の横浜_mov.avi
minnanodate.com