Takayuki Nakamura's blog: WebAppSecの脆弱性の分類方法について考えてみる
2007年7月7日 WebAppSecの脆弱性の分類方法について考えてみる 講演資料や教育資料を作る際に、脆弱性を分類して、それぞれについて問題点と対策について説明するわけなのですが、分類方法が混在している場合が多く、どうもすっきりしません。 分類方法については、メジャーなWebAppSec情報サイト(OWASPやWASCなど)を参考にするのがよいと思いますが、これらのサイトでも、分類方法が混在しています。これについてはwatchfireのブログでも触れられています。watchfireのOry Segal 氏はWASC Threat Classification の次期バージョンの編集作業を行なっており、次のバージョンは、すっきりした分類方法となるよう、色々と考えているようです。 タイトルを仮に「脆弱性の分類」としていますが、分類方法としては、 脆弱性攻撃手法攻撃により発生する現象攻撃によ
Takayuki Nakamura's blog: 名前ベースのVirtualHostでそれぞれのSSLサーバ証明書を使う
2007年7月4日 名前ベースのVirtualHostでそれぞれのSSLサーバ証明書を使う #なんだかんだしてたら、半月経ってしまった #来週になったら、ちゃんと再開 『Name-based SSL virtual hosts』 より 名前ベースのVirtualHostでSSLを使う場合、以下の方法をとれば、それぞれのVirtualHostごとの証明書を使うことができます。 ワイルドカード証明書を使うCN=*.example.com という設定の証明書を使えば、www1.example.com と www2.example.com で共通のサーバ証明書を使うことができます。 subjectAltNameを使う 証明書の subjectAltName に別名としてVirtualHostのDNS名を書いておきます。サーバにセットする証明書は1つですが、証明書内の別名をチェックすることで、「証明
Takayuki Nakamura's blog: Webアプリケーション検査前の情報収集
2007年6月5日 Webアプリケーション検査前の情報収集 『How to find your websites 』(jeremiah grossman のブログより) 検査前には、そのWebサイトについて公開されている情報を収集する。Web Security Test 系の書籍には、よく書いてある内容かな。他にも色々収集方法はあるけど、ここに書いてあるのは基礎的なこと。 1) Network Discovery whois情報、公開ポート情報 2) DNS and Zone Transfer 名前の通り。サイトが公開しているDNSから、そのドメイン上に存在するホストに関する情報を取得する。 3) Google and Netcraft site:www.example.com のようにして、そのサイトから取得されたページに関する情報を取得する。 4) The grunt work サイト
Takayuki Nakamura's blog: OWASP Top 10 2007
2007年5月20日 OWASP Top 10 2007 http://www.owasp.org/index.php/Top_10_2007 PDF版↓ http://www.owasp.org/images/e/e8/OWASP_Top_10_2007.pdf 正式版が公開された。これまでのコンテンツを書き直して、それぞれに対しての防御方法についてまとめたもの。 こんな感じ↓ いつものごとく、訳は適当。意訳。加筆あり。抜けもあるだろうから、上記URLから本物のコンテンツを見て欲しい。 Cross Site Scripting (XSS) 確認方法 データをクライアントに返す前に、入力チェックやHTMLエンコードが行われているか確認する。 自動検査の場合 自動検査ツールは、reflected XSS(パラメータ操作により入力したスクリプトがレスポンスに反映される形式のXSS)は検出できる
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Takayuki Nakamura's blog: PHPIDS リリース
Takayuki Nakamura's blog: HMACにより攻撃を防ぐ
Takayuki Nakamura's blog: XSSED.com
