APPSEC APAC 2014 で講演いたしました - Cybozu Inside Out | サイボウズエンジニアのブログ
Cy-SIRT の伊藤です。 少しの間お休みをいただいて、数日前に職場復帰しました。 2014 年 03 月 20 日に APPSEC APAC 2014 にて講演いたしました。 このような貴重な機会を与えていただいた APACSEC APAC の関係者の皆様に、心より感謝いたします。 講演について 講演にて利用した資料は、以下のホームページにて公開いただいています。 原稿を作成する過程では、最初に日本語版のプレゼン資料を作成しました。 その後多くの皆様に校正をお手伝いいただき、 翻訳済みの原稿を作成しています。お手伝いいただいた皆様、本当にありがとうございました。 当日は翻訳済みの資料でプレゼンを行ったのですが、参加いただいた全ての方が日本人の方でしたので、 逆に分かりにくい状況となってしまい申し訳ありませんでした。 数名の方から、日本語版の資料に関するお問い合わせをいただきましたので、
IPAから「クリックジャッキング」に関するレポート出ました
Webアプリケーションのセキュリティの分野で「新しい攻撃手法」は実はそれほど多くないのですが、比較的新しく対応が求められているものとしてクリックジャッキングがあります。クリックジャッキングは、CSRFと同じように「Webアプリケーションのサーバー側機能」を利用者(被害者)に実行させる手法です。CSRFは、当該機能を実行するHTTPリクエストを送信させる罠を使いますが、クリックジャッキングの方は、iframe等に当該機能を呼び出す画面を表示しておき、利用者(被害者)に実行ボタンを押させる(=クリックジャック)手法です。クリックジャッキングに関しては従来詳しい解説がありませんでしたが、この3月26日にIPAから「クリックジャッキング」に関するレポートが公開されました。 このレポートから、クリックジャッキングのイメージを示す図4を引用します。 サイトAが攻撃対象のサイト、悪意のあるページは罠にな
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
