WebAppSec/Secure Coding Guidelines - MozillaWiki
Introduction The purpose of this page is to establish a concise and consistent approach to secure application development of Mozilla web applications and web services. The information provided here will be focused towards web based applications; however, the concepts can be universally applied to applications to implement sound security controls and design. This page will largely focus on secure g
SQLインジェクション対策 - イクケン
イクス研究室、略して『イクケン』です。 株式会社イクスがお送りする プログラミング講座やニュースや雑談など。 寒い日が続いておりますが、みなさまは風邪などひいたりしていないでしょうか。ふじわらです。自分はひいてますが(ダメジャン)。 ソース等をまだ公開していないネットワーク付箋紙システムですが、セキュリティ強化策の第1弾として、とりあえずSQLインジェクション仮対策を施しました。といっても、大したことじゃないんですが。 そもそも、「SQLインジェクション」って何?ってところからお話しましょうか。 直訳すると「SQL注入」です。どういうことかというと、SQL文に、意図しない別のSQL文を注入し、設計者が想定していない結果を取得、更新してしまうことです。 具体的にどういうことなのか、簡単な例を挙げると、本来「SELECT * FROM table WHERE key='(入力値)'
2008年に入って攻撃急増,原因は攻撃手順の自動化
2008年3月以降,「SQLインジェクション」という手法を使ったWebサイトの改ざんが相次いでいる。ラックのセキュリティ監視センター(JSOC)によると,ここ数カ月でSQLインジェクション攻撃の検知数が爆発的に増加し,8月には過去最高の17万件に達した。 多くのWebサイトでは,ユーザーの入力値などに応じて動的に表示を変える。Webサーバーはユーザーから受け取った入力値を,Webアプリケーションを通じてデータベースに引き渡す。データベースは,入力値に応じて必要な処理を実行し,その結果,得られた値をWebアプリケーションに戻す。Webアプリケーションはデータベースの出した値を反映したHTMLデータを生成し,Webサーバー経由でユーザーのWebブラウザに表示させる仕組みだ。 一連のSQLインジェクション攻撃では,攻撃者がWebサーバーへの入力値に不正なSQLを挿入することで,データベースを操作
そろそろWAFに関して一言いっとくか~三重苦を乗り越えてWAFが普及するための条件とは~
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2) 備忘のため転載いたしますが、この記事は2008年7月22日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 なお、この記事を書いた後、WAFはこの記事の予言(願い?)通りに進展したように思います。そのあたりの歴史については、こちらのインタビュー記事を参照下さい。 補足終わり PCIデータセキュリティ基準(PCIDSS)がWAF(Web Application Firewall)について言及していることなどから、最近再びWAFへの関心が高まっている。一方、WAFは、一部のユーザや専門家に非常に評判が悪い。なぜ、そのようなことになるのか。本稿では、WAFの基本機能を説明した上で、その限界と運用上の問題を指摘し、今後のWAFの使い方
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
