IDEA * IDEAドットインストール代表のライフハックブログ
JavaScript Hijack/JSON Hijackのぜい弱性
今回で,ratproxyで検出できる特徴的なぜい弱性の解説は終わりです。最終回となる今回は,JavaScript Hijackについてです。JavaScript Hijack,そしてJSON Hijackは,JavaScriptファイルやJSONデータ内に含まれる情報を盗む攻撃です。ratproxyは,この攻撃を成立させてしまうぜい弱性を見付けやすくなっています。 JavaScript Hijack まず最初にJavaScript Hijackについて説明しましょう。JavaScript Hijack攻撃にぜい弱になるのは,個人情報などの機密情報を内容として含むJavaScriptファイルを動的に生成しているアプリケーションです。筆者が過去の検査で実際に見たケースには,以下のようなものがありました。 (index.htmlの一部) <script src="greeting.cgi"></
無精で短気で傲慢なプログラマ web 開発のヒアリングシート/チェック項目
要件定義のヒアリングシートはいくつか見たことはあるが、web 開発に 特化したまともなヒアリングシートを見たことがないので作ってみた。 「サイトの目的は」などの上流部分はあえて省いて、機能・実装にフォーカスしている。 思いつくままに記述してみたが、結果としてはインターネット上の コマース向けサイトに特化した形になった。 請負時のヒアリングシートと、発注時の要件伝達漏れチェックシートと、 開発時のレビュー観点の元ネタとして使えるといいなぁ。今後気づいた ところがあれば追記していきます。 ●2010/02/24 追加分。 - サイトメンテナンス時のアナウンス要否 - メンテナンスページは「503 Service Temporarily Unavailable」を返すようにし、 検索エンジンにキャッシュされないよう注意する。 ●2007/08/23 追加分。 404/403/500 などのエラー
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
