なぜ自社でWebアプリケーション脆弱性診断を行うべきなのか。自動と手動の脆弱性診断のやり方、自社でやる意義、予算のかけ方などを紹介しています。 参考文献はこちら:Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術 http://www.shoeisha.co.jp/book/detail/9784798145624 2017年2月6日
![とある診断員とSQLインジェクション](https://cdn-ak-scissors.b.st-hatena.com/image/square/2cce863ce03dd0e3e7c3a7a3e4225175892dd410/height=288;version=1;width=512/https%3A%2F%2Fcdn.slidesharecdn.com%2Fss_thumbnails%2Fpentestersqli-140525142520-phpapp01-thumbnail.jpg%3Fwidth%3D640%26height%3D640%26fit%3Dbounds)
先日書いたSQLインジェクションの記事のブコメに、 otchy210 う~ん、このくらいの解説なら腐るほどある気がするぞ。何でこんなにブクマされてるの? というものがあり、他にも「なんで今さら?」的なコメントがあったりして色々と考えさせられてしまった。「何故自分はこの記事を改めて書かなければいけないと思ったのか?」と。ブコメに全力で反応するようでいささか中二病的で恥ずかしいが、今日は「既に多方面で語られていることを改めて書く」ことの意義について、自分が出した結論について語ってみようと思う。 より多くの人の目に止まる。SQLインジェクションは非常に危険なセキュリティ脆弱性であり、今も多くのWebサイトが被害に遭っている。SQLインジェクション攻撃がなくならないのは対策が充分でないサイトがあるからであり、対策が充分でないのはSQLインジェクションに対する知識が足りないからである。従って、出来る
コミュニティーサイト構築に詳しい専門家は、「CSRF対策は基本的なところ。Amebaなうが対策していなかったのは意外だ」と話している。 「CSRF対策は基本的なところ」と言われると、発見も対処も容易であるような印象を受けますが、これは少し違和感がありますね。 半年ほど前の話ですが、弊社 (www.b-architects.com)のクライアントが新規のECサイトを立ち上げるにあたって脆弱性診断をしようという話になり、外部の会社に見積もり依頼をしたことがあります。その際、業界では知らない人がいないような大手会社の診断メニューも見せていただきました。 そこで印象的だったのは、標準とされるプランにCSRFの診断が含まれていなかったことです。標準のコースにはXSSやSQLインジェクションの診断が含まれますが、CSRFは「アドバンスド」プランの方にしか含まれていませんでした。普通のサイトではXSSや
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く