タグ

ブックマーク / ockeghem.hatenablog.jp (6)

  • 「UnicodeによるXSSとSQLインジェクションの可能性」プレゼン資料 - ockeghem's blog

    だいぶ間があいてしまいましたが、年1月31日に開催された、第04回まっちゃ445勉強会目覚まし勉強会におけるライトニングトークの資料を公開します。 UnicodeによるXSSとSQLインジェクションの可能性View more presentations from ockeghem.

    「UnicodeによるXSSとSQLインジェクションの可能性」プレゼン資料 - ockeghem's blog

  • SQLインジェクション攻撃はDB上の任意データを盗み出す - ockeghem's blog

    前回に引き続き、Think IT上の連載「SQLインジェクション大全」の第4回:ケース別、攻撃の手口を読んで感じたことを書きたい。 まず、この記事は以下のような書き出しから始まっている。 記事は、システムを防御するにはまず敵を知らなければならない、という意図の下に、攻撃手法を紹介する。 dfltweb1.onamae.com – このドメインはお名前.comで取得されています。 この趣旨に異論があるわけではないが、しかしこの表現は誤解を生みやすいものだと思う。 というのは、「敵」(攻撃方法)を知ったからと言って、防御の方法が導き出せる訳ではないからだ。例えば、開発者が「最近のSQLインジェクションの自動化攻撃にはT-SQLのDECLARE文が用いられる」という情報を得て独自に対策を考えた場合、DECLAREという単語をチェックしてエラーにしたり、単語を削除することを考えがちだと思う。現に

    SQLインジェクション攻撃はDB上の任意データを盗み出す - ockeghem's blog

  • とくまるひろしのSession Fixation攻撃入門 - ockeghem's blog

    やぁ、みんな,元気?とくまるひろしです。今日はSession Fixation攻撃の方法をこっそり教えちゃうよ。 いつもは防御側で漢字の名前でやってるんだけど,きょうは攻撃側ということで,名乗りもひらがなに変えたんだ。だってさ,今度デブサミでご一緒するはせがわようすけさんとか,はまちちゃんとか,ひらがなの人たちの方が格好良さそうじゃないか。 では始めよう。 このエントリは、http://blog.tokumaru.org/2009/01/introduction-to-session-fixation-attack.html に移転しました。恐れ入りますが、続きは、そちらをご覧ください。

    とくまるひろしのSession Fixation攻撃入門 - ockeghem's blog
    jjgg8823
    jjgg8823 2009/01/30
    ちょっと痛いですよwwwえーっ、これ誰かのイタズラではなく?
    リンク

  • 「セキュアなPHPアプリケーションを作成するための7つの習慣」のサンプルがとんでもなく酷い - ockeghem's blog

    はてブで250以上のブックマークを得ている以下のエントリ。 PHP アプリケーションを作成する際には、可能な限りセキュアなアプリケーションにするために、次の 7 つの習慣を守る必要があります。 入力を検証する ファイルシステムを保護する データベースを保護する セッション・データを保護する XSS (Cross-Site Scripting: クロスサイト・スクリプティング) の脆弱性から保護する フォームへの投稿を検証する CSRF (Cross-Site Request Forgeries: クロスサイト・リクエスト・フォージェリー) から保護する ほう。しかし、内容はどうだろうか。 読んでびっくりした。説明も微妙なところが多いが、サンプルが酷い。こんなサンプルでは悪い習慣が身についてしまう。全部は書ききれないと思うので、目についたところからピックアップして紹介する。 パストラバーサル

    「セキュアなPHPアプリケーションを作成するための7つの習慣」のサンプルがとんでもなく酷い - ockeghem's blog

  • AjaxのXSS対策 - ockeghem's blog

    セキュアスカイ・テクノロジーのCTO福森さんの記事がでていますね。 第1回 Ajaxとクロスサイトスクリプティング:ここが危ない!Web2.0のセキュリティ|gihyo.jp … 技術評論社 初回はWeb2.0の中核技術ともいえるAjaxを見ていきたいと思います。 Ajaxのセキュリティについて考えていきますが,その前にAjaxについて簡単におさらいしてみましょう。 AjaxとはAsynchronous JavaScript XMLの略であり,【後略】 高木さんのはてブには 説明が下手。精進してちょ。 と、いつになく優しいコメント(?)がついています。福森さんは顔見知りでなかったのか、はてまた単に忙しかっただけか・・・ というのも、この記事、突っ込みどころが満載なのですが、少しだけ指摘してみます。 1ページの末尾には、 つまり,contents.cgiでクロスサイトスクリプティング対策が行

    AjaxのXSS対策 - ockeghem's blog

  • 4月から「部分的に」フリーになりました - ockeghem's blog

    ハテブの方で独立・起業系のコンテンツを時々チェックしていたため、「もしかして独立するの?」という反応を一部よりいただいておりました。 京セラコミュニケーションシステム(KCCS)を辞めるわけではありませんが、3月をもってフルタイムの社員から、少し勤務形態を変え、週二日だけ出社することになりました。 と2月から「部分的に」フリーになりました – 秋元の冒頭をテンプレートとして使わせていただきましたが、実際のところ、2008年3月をもってKCCSを社員としては退職し、4月以降週2日(業務の都合によってはもっと)KCCSに出社しています。KCCSでの肩書きは技術顧問です。 KCCSでの仕事について KCCSは私にとって居心地のよい職場でした。基的に、自分のやりたい事業をやらせていただきましたし、自ら新規事業を企画し、それにどっぷり浸かって立ち上げるという得がたい経験をさせてもらいました。 しか

    4月から「部分的に」フリーになりました - ockeghem's blog
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.