多様化するWebアプリケーションへの攻撃
第1回「機密情報に合法的に近づけるWebアプリケーションを守れ」では、「Unvalidated Input(許可されていない入力)」における「Hiddenフィールドマニピュレーション」の手法について説明した。いままでアプリケーションセキュリティに携わらなかった方にも、Webサイトが攻撃されるメカニズムが、意外に単純なものであることが理解してもらえたと思う。 前回の内容に対して、周囲からいくつか質問をもらった。「こんなこと書いていいのか?」というものである。つまり、誰もが簡単に攻撃を行えることを示すことによって、かえって被害を増加させるのではないか、という懸念を持たれたわけだ。今回の記事では、より多くの攻撃手法を説明していくため、本論に移る前にこういった質問に回答しておきたい。 私たちはすでに本連載で記しているような脅威の中にいる。それは、Webアプリケーションセキュリティに携わったことのあ
複数の PHP をインストールし、切り替えて使う方法 - Sooey
複数の PHP をインストールし、切り替えて使う方法 lighttpd 1.4.7 を Mac OS X 10.4.3 にインストール や PHP 5.1.0RC5 Release で書いたように、メインマシンである PowerBook では PHP や ruby、lighttpd といったソフトは複数バージョンを共存できるよう configure に prefix を指定してインストールしています。 従って、例えば PowerBook の /usr/local/php は以下のようになっています。 $ ls -l /usr/local/php total 8 lrwxr-xr-x 1 root wheel 27 11 18 03:38 current -> /usr/local/php/php-5.1.0rc5 drwxr-xr-x 7 root wheel 238 11 15 14:4
こめんと(2005-07-18)
■ [Security] [Comp] Cross-site scripting と Hungarian-notation 僕個人は所謂 Hungarian-notation (型名の省略形を変数名前の頭に付ける記法) は 大嫌いなのだが、最近いろいろな Web プログラムのソースファイルを見ていて、 ひょっとしたら(あくまで過渡的に)最近の web プログラミングに於いては 実践すべきなのではないのか、という気がしてきた。 といっても、別に整数とか長整数とか、まして「ゼロ終端文字列へのロングポインタ(lpsz)」 なんてタグをつけろというわけではなくて、最近流行りの Web 系の脆弱性に応用する話。 というか、危険なプログラム書くよりはHN使う方がマシ。 でもやっぱり嫌だなぁ……。 Hungarian-notation を否定する時に一番楽な言い方ってのは、 ってなわけですが、良くありが
【レポート】セキュアなWebアプリ実現のために本来やるべきことは? - 高木浩光氏 | エンタープライズ | マイコミジャーナル
いわゆる「Webアプリケーション」のセキュリティに関する問題を論議する「Web Application Security Forum(WASF)」が、7月8日に都内で第2回のカンファレンスを開催した。同カンファレンスでは、セキュリティ業界ではもはやおなじみの存在であり、WASFの理事でもある産業技術総合研究所の高木浩光氏が講演を行った。 おなじみ高木浩光氏。この日はWASF理事として登場 キーワードジャーナリズムは世間一般への啓発のために有効 高木氏の講演は「増えつつある疑わしいキーワードを斬る〜キーワードジャーナリズムに踊らされるな〜」という題名で予定されていたが、高木氏は冒頭でいきなり「この題名は理事会で決められたものだが、私個人はむしろ『キーワードジャーナリズム万歳』という風に思っており、参加者の皆さんこそ『講演の題名に踊らされるな』と言いたい」と述べて会場を笑わせた。 その上で高木
高木浩光@自宅の日記 - 攻撃者視点ではなく開発者視点での解説を
■ 攻撃者視点ではなく開発者視点での解説を 8月に@ITに「機密情報に合法的に近づけるWebアプリケーションを守れ」という記事が 出ていた。 タイトルからして意味がわからない。「合法的に近づける」とは何だ? 英文 の直訳か何かか? その連載第2回「多様化するWebアプリケーションへの攻撃」が今日掲載されたのだが、問題を正しく理解し ないまま書かれた記事と言わざるを得ない。例えば次のように書かれている。 この例では、「userid=-20298745283」がクエリストリング にあたる。クエリストリングはURL内に含まれているため、誰でも見ることが できる。従って、ユーザーのちょっとした出来心やいたずら(例えば 「この数字の最後を1つだけずらせばどうなるかなー?」) によって、脆弱性が露見することも多い。 この例であれば、誰が見ても明らかなように、「userid」のパラメー タがユーザー管理
はてな記法ワープロ
*はてな記法JavaScript はてな記法ワープロは JavaScript ならではの利点を生かしたダイナミックなワープロです。 試しに色々入力してみてください。即座に出力画面が反映されます((Windows 版 IE6 および Firefox 1.0 でのみ確認しています))。 はてな記法の変換は <a href="http://search.cpan.org/dist/Text-Hatena/">Text::Hatena</a> を JavaScript に移植した "text-hatena.js" を活用しています。 **変更履歴 |*2005/12/1|ソース機能追加 (HTMLソースを表示できます)| |*2005/11/21|はてな記法ワープロ完成| |*2005/11/13|text-hatena.js 移植開始|
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
