星野君のWebアプリほのぼの改造計画 第3回 Webアプリ、入力チェックで万事OK? - @IT
Webアプリ、入力チェックで万事OK?:星野君のWebアプリほのぼの改造計画(3)(1/5 ページ) 念願のWeb担当業務に異動した星野君。配属初日にセミナーのWeb申し込みフォームを3日で作る仕事を押し付けられた(第1回)。4カ月も管理者不在で放置されていたWebサーバを調べてみれば、「admin」だとか「test」だとか「old」という名前を付けられたファイルやフォルダが存在している。極め付きの大穴は、会社のWeb管理システムにSQLインジェクションが存在したこと(第2回)。 親友の山下君、メールでしか言葉を交わしたことのない「まこと先輩」の助けを得て、次々と浮かび上がるトラブルを解決する星野君に、心の休まる日は来るのだろうか? Web担当の仕事にもようやく慣れ始めた星野君。会社のWeb戦略が少しずつではあるが固まってきたこともあって、ちょこちょことした細かい要望に応える仕事をこなして
多様化するWebアプリケーションへの攻撃
第1回「機密情報に合法的に近づけるWebアプリケーションを守れ」では、「Unvalidated Input(許可されていない入力)」における「Hiddenフィールドマニピュレーション」の手法について説明した。いままでアプリケーションセキュリティに携わらなかった方にも、Webサイトが攻撃されるメカニズムが、意外に単純なものであることが理解してもらえたと思う。 前回の内容に対して、周囲からいくつか質問をもらった。「こんなこと書いていいのか?」というものである。つまり、誰もが簡単に攻撃を行えることを示すことによって、かえって被害を増加させるのではないか、という懸念を持たれたわけだ。今回の記事では、より多くの攻撃手法を説明していくため、本論に移る前にこういった質問に回答しておきたい。 私たちはすでに本連載で記しているような脅威の中にいる。それは、Webアプリケーションセキュリティに携わったことのあ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
