Perlを使って脆弱性を検証する:CodeZine
はじめに 今回はXSSの脆弱性をチェックするPerlスクリプトを作成したいと思います。すべてのXSSによる脆弱性が回避できるわけではありませんが、テストコード作成のヒントになれば幸いです。 対象読者 Webアプリケーション開発者で、XSSのテストケースを作成したい方。 必要な環境 Perl 5.8以上が動作する環境。基本動作の確認はMac OS Xを利用しました。次のPerlモジュールを利用するので、あらかじめインストールしておいてください。 Template::Toolkit Web::Scraper Test::Base またCGIを使用するので、ApacheなどのCGIが実行できるWebサーバを用意してください。 解説内容 ソースコード解説 まず最初にソースコードの解説をします。 xss.pl
404 Blog Not Found:JPEGにファイルを隠させない方法
2006年10月17日23:00 カテゴリ JPEGにファイルを隠させない方法 ああ、Warezと戦っていた頃が懐かしい。 秋元@サイボウズラボ・プログラマー・ブログ: jpegの中に別のファイルを隠す方法 jpeg形式のファイルの後に、rar(圧縮形式の一つ)を単純につなげると、普通に開くと画像が表示されて、rarの解凍ツールで開くとrarの部分が解凍できるファイルが作れるということだ。まだ今よりディスクがずっと貴重だった頃、無料ホームページサービスというのはこれとの戦いだった。 画像を交換しているフリをして何か他のものを交換したい人 たちがたくさんいたのだ。まあ今でもいるのかも知れないが、これだけ無料ホスティング(blog含む)の容量制限が緩和された昨今では昔ほどの需要はないのだろう。 ファイルを隠す方は簡単すぎ。解説なんかなくても cat good.jpg bad.rar > bad
まちがった自動ログイン処理
(Last Updated On: 2018年8月20日)問題:まちがった自動ログイン処理の解答です。このブログエントリは最近作られたアプリケーションでは「問題」にしたような実装は行われていないはず、と期待していたのですがあっさり期待を破られたのでブログに書きました。このブログの方が詳しく書いていますけが「Webアプリセキュリティ対策入門」にも正しい自動ログイン処理を書いています。 参考:自動ログイン以外に2要素認証も重要です。「今すぐできる、Webサイトへの2要素認証導入」こちらもどうぞ。HMACを利用した安全なAPIキーの送受信も参考にどうぞ。 間違った自動ログイン処理の問題点 まず間違った自動ログイン処理を実装しているコードの基本的な問題点を一つ一つ順番にリストアップします。 クッキーにランダム文字列以外の値を設定している クッキーにユーザ名が保存されている クッキーにパスワードが保
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
