XMLをparseするアプリのセキュリティ - 2009-06-21 - T.Teradaの日記
「XML」「セキュリティ」という単語でWeb検索すると、多くヒットするのはXMLデジタル署名やXML暗号などを説明したWebページです。 本日の日記では、それとはちょっと違うテーマ(XXEと呼ばれる攻撃)について書きます。 脆弱なコードと攻撃方法 さっそく脆弱性があるサンプルプログラムです。 import java.io.*; import javax.servlet.*; import javax.servlet.http.*; import org.w3c.dom.*; import org.apache.xerces.parsers.*; import org.xml.sax.*; public class Test1 extends HttpServlet { public void service(HttpServletRequest request, HttpServletRe
OpenIDについて調べた - teracc’s blog
最近やっと、OpenIDというものの存在を知りました(遅い!)。 自分のブログURLをIDで使える!―OpenID.ne.jp(オープンアイディー) ちょっと調べてみました。 概要 いわゆるSSO(シングルサインオン)サービスです。 単一のID/パスワードで、複数のWebサイト(Consumerと呼ぶ)にログインできるようにする。 パスワード情報は認証サーバ(IdPと呼ぶ)で一元管理する。 ユニークなのは、自分のHPのURLをIDに使うところです。 大まかな仕組みは以下のようなものです*1。 ユーザは、事前にIdPにパスワードなどを登録しておく。 自分のHPのLINKタグに自分の使うIdPを記述する。 ユーザがConsumerに自分のID(HPのURL)を提示すると、ConsumerはHPのLINKタグを読んで、そのIdPのURLにリダイレクトする。 ユーザはIdPの画面でパスワード認証を
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
