第10回 スクリプトインジェクションが無くならない10の理由 | gihyo.jp
SQLインジェクション対策は非常に簡単です。しかしブラウザに対する「スクリプトインジェクション」はなかなか無くなりません。スクリプトインジェクションが無くならない10の理由をあげてみます。 複雑な攻撃経路と対策 前回紹介したように、ブラウザに対するスクリプトインジェクション攻撃の経路は3種類あります。エスケープ方法も数種類あります。すべての出力を完全にエスケープできればセキュリティ維持も容易になりますが、タグや属性を出力したい場合もあるため、必ずしもすべての出力をエスケープできるわけではありません。さらに攻撃手法にも、サイトをまたがった攻撃、直接攻撃、間接攻撃などパターンがあります。エスケープできないデータへの不正なスクリプトの挿入を防ぐには、データの起源までさかのぼり安全性を確保しなければなりません。ブラウザに対するスクリプトインジェクション対策はデータベースサーバへのSQLインジェクシ
Kazuho@Cybozu Labs: djbdns にパッチをあてて Anti-DNS Pinning 対策
« Re: for 文を setTimeout に変換する | メイン | CGI::Application 用にディスパッチャ兼パーマリンクジェネレータを書いてみた » 2007年11月12日 djbdns にパッチをあてて Anti-DNS Pinning 対策 Anti-DNS Pinning 攻撃について、以前から DNS キャッシュサーバで対処すべきだよねという話はしていたのですが、ふと思い立って、djbdns 用のパッチを書いてみました (djbdns-antidns-pinning-block.patch)。下のログをご覧いただければ明らかなように、外部の DNS キャッシュに問い合わせると 127.0.0.1 が返ってくるアドレスについて、ローカルホストで動作している DNS キャッシュは 169.254.0.0 という無効なアドレスを返しています。本当は不正なアドレスを削
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
