Webぜい弱性診断も“2.0”に,KCCSがサービスを追加
京セラコミュニケーションシステム(KCCS)は2007年2月22日,同社が従来から提供している「Web脆弱性診断サービス」に「Web 2.0対応プラン」を追加すると発表した。SNS(ソーシャル・ネットワーキング・サービス)やブログなどユーザーがWebページにHTMLやCSS(cascading style sheet)を直接書き込めるようなサイトが主な対象。SQLインジェクション,コマンド・インジェクションといった従来の検査に加え,特にSNSやブログ・サイトで悪用されやすいクロスサイト・スクリプティング(XSS)のぜい弱性を集中的に調査する。 XSSのぜい弱性とは,Webサイトの管理者が意図しない悪意あるJavaScriptをWebページに埋め込まれ,これを開いたユーザーのWebブラウザでこのJavaScriptが実行されてしまうというもの。「SNSやブログでは,Webページの表現力を増す
「2007年版 Webアプリケーション脆弱性傾向」お申し込み|KCCS
本資料は、一般的なWebサイトが抱える脆弱性の傾向や脅威について明らかにすることを目的に、弊社「Webアプリケーション脆弱性診断サービス」の実際の診断結果をもとに分析・作成したものです。本資料では、弊社が2006年1月から12月までの1年間にWebアプリケーション脆弱性診断を実施したサイトより約100件を抽出。それらの診断結果をもとに、PC向けサイト/ケータイ向けサイトの双方に対し、脆弱性の傾向やクロスサイト・スクリプティングなどの代表的な攻撃手法などについて解説しています。 ご希望の方は、以下の先行登録フォームに必要事項をご記入いただき、お申し込みください。 送信後、ダウンロードページにてダウンロードいただけます。
UTF-8 エンコーディングの危険性 - WebOS Goodies
基本的に、まともな国際化ライブラリを使っていれば、上記のような不正な文字コードはきちんと処理してくれるはずです。実際、 Opera, Firefox, IE ともに適切にエスケープしてくれました。また、 UCS に変換した後にエスケープ処理を行うことでも対処できるかもしれません。しかし、複数のモジュールで構成されるような規模の大きいアプリケーションでは、そのすべてが適切な処理を行っていると保証するのも、なかなか難しいかと思います。ここはやはり、すべての外部入力に含まれる不正なシーケンスを、水際で正規化するという処理を徹底するのが一番かと思います。 例えば Ruby の場合、不正な UTF-8 コードを検出する最も簡単な方法は、 String#unpack を使って UCS へ変換してみることです(昨日の記事への kazutanaka さんからのはてぶコメントにて、 iconv でも同様なこ
フォームの入力値チェックをしてくれるJavascriptのライブラリ『Validate.js』 | S i M P L E * S i M P L E
これは便利そう。 『validate.js』ではフォームのさまざまな入力をチェックしてくれます。URLやメールアドレスなどのよくあるチェックに加え、ISBNかどうかといったマニアックなチェックもできます。 マニュアルに載っている命令をご参考までに。 hasValidChars isSimpleIP isAlphaLatin isNotEmpty isIntegerInRange isNum isEMailAddr isZipCode isDate isMD5 isURL isGuid isISBN isSSN isDecimal isplatform addRules Apply サイトでは動作チェックのデモもあります。コードも見れますよ。 ↑ こんな感じでさまざまなチェックができます。 詳細&ダウンロードはこちらからどうぞ。 » Mutationevent :: Validate.js
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.nikkeibp.co.jp/style/biz/feature/tachibana/media/070221_kenkou/index.html
