タグ

2010年5月17日のブックマーク (3件)

  • Webアプリにおける11の脆弱性の常識と対策

    Webアプリにおける11の脆弱性の常識と対策:Webアプリの常識をJSPとStrutsで身につける(11)(1/4 ページ) 連載は、JSP/サーブレット+StrutsのWebアプリケーション開発を通じて、Java言語以外(PHPASP.NETRuby on Railsなど)の開発にも通用するWebアプリケーション全般の広い知識・常識を身に付けるための連載です 【2013年2月25日】編集部より、おわびと訂正のお知らせ 稿において読者の皆さまより多数のご指摘をいただきまして、誠にありがとうございます。編集部であらためて調べた結果、間違いを把握し、あらためて修正版を掲載させていただきます。この度は、長期にわたり誤った内容を掲載したので、読者の皆さまに多大なご迷惑をお掛けしたした点をおわび申し上げます。 通常、記事に間違いがあった場合には、筆者確認後に修正版を掲載するのですが、今回の場

    Webアプリにおける11の脆弱性の常識と対策
  • サイト脆弱性をチェックしよう!--第7回:「ディレクトリトラバーサル」と「強制ブラウジング」

    印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 前回は、SQLインジェクションについて説明した。前回の対策について不明瞭な部分があるとの指摘を受けたので、その部分について、まず説明する。 前回、「SQLインジェクション対策の基はXSSと同じく適切なエスケープ処理を行うことだが、最近の開発環境の多くは、Prepared Statementあるいはバインドメカニズムと呼ばれる仕組みが実装されているので、それらを用いることが最も簡単な方法といえる」と記述した。 その意図は、「SQLインジェクション対策の基はエスケープ処理となる。しかし、エスケープ処理を行う代わりに、Prepared Statementあるいはバインドメカニズムをデータベースへのアクセスに利用する方が簡単かつ安全だ」とい

    サイト脆弱性をチェックしよう!--第7回:「ディレクトリトラバーサル」と「強制ブラウジング」
  • SHA-1/SHA-2/MD5ハッシュ値を計算するには?[C#、VB] - @IT

    2つのパスワードや2つの大容量データなどを比較する際、そのデータをそのまま比較するのではなく、そのデータを元に生成した固定長(16/20/32/48/64bytesなど)の一意な値、いわゆる「ハッシュ値」を使うということがよくある(※なお、このハッシュ値は不可逆なデータで、ハッシュ値から元のデータに戻すことはできない。つまり、ハッシュは「一方向の暗号化」である)。このハッシュ値は、元のデータが1bitでも異なると大きく変化するため、特にテキストやファイルが改ざんされていないかをチェックするのに適している。 ハッシュ値の活用例としては、例えばパスワードの保存がある。ハッシュ値を使えば、生のテキスト・パスワードを保存しなくて済むので安全性が高まる(万が一、ハッシュ値が漏れても、それから実際のパスワードは取得できない)。また、例えば2者間で送受信したデータが不正ではないかをチェックしたいときにも

    mai_k
    mai_k 2010/05/17