セキュリティの深刻な脆弱性につながるダングリングポインタ
従来、ダングリングポインタという非常に一般的なプログラミングエラーは、セキュリティの問題というよりも品質管理の問題と考えられることが多かった。例えば、2005年にInternet Information Services 5.1のダングリングポインタがMicrosoftに報告されたが、その後2年間、対応パッチが提供されなかった。こうしたバグはシステムをクラッシュさせたり、深刻なセキュリティ上の脅威をもたらす可能性があるにもかかわらずだ。 ダングリングポインタは、プログラマーがメモリオブジェクトを作成・使用し、解放時に、オブジェクトのポインタの値をそれに合わせて変更(つまり、NULLに変更)しなかった場合に発生する。そのポインタは、メモリの割り当てが解除されたメモリ位置を不正に参照することになる。このポインタがダングリング(宙ぶらりん)ポインタと呼ばれるのは、このポインタが指すメモリが、もは
サイト脆弱性をチェックしよう!--第5回:XSSの脆弱性を検査する方法
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 前回までは安全なウェブアプリケーションを作成する手法をいくつか説明してきた。今回からは代表的な脆弱性についての検査方法を説明していきたい。まずは、クロスサイトスクリプティング(XSS)の脆弱性について、その検査方法を紹介する。 XSSとは、入力として受け取ったデータに含まれている「Javascript」などのスクリプトやタグが、それらが有効な形で出力(HTTPレスポンス)に含まれているために、ブラウザが意図しない動作や表示を行ってしまう脆弱性だ。 この脆弱性を使った攻撃の被害者はサイトを利用している利用者であり、サイトが直接的な被害に遭うことはない。この脆弱性を利用すると、攻撃者が意図した通りにブラウザをコントロールすること(たとえば、
ステートレスとは何か
RestWiki をたまに見直すと新たな発見があって面白い。 たとえば先日、「ステートレスなやりとりとは何か(What is Stateless Interaction?)」という箇所を見つけて、興味深く読んだ。このページは以前も絶対に読んでいるはずなのだが、 人間は忘れてしまうものである。 RestWiki の例でも充分わかりやすいのだけれど、自分でも例を思いついたので書きとめておく。 ステートフルサーバとステートレスサーバはどう違うのか。 まずは、ステートフルの例: 客: こんにちは 店員: いらっしゃいませ。○○バーガーへようこそ 客: ハンバーガーセットをお願いします 店員: サイドメニューは何になさいますか? 客: ポテトで 店員: ドリンクは何になさいますか? 客: ジンジャーエールで 店員: +50円でドリンクをLサイズにできますがいかがですか? 客: Mでいいです 店員:
高木浩光@自宅の日記 - ジャストシステムはどこへ向かっているのか
■ ジャストシステムはどこへ向かっているのか ジャストシステムが、ユーザの安全確保よりも、何らかの別の目標*1に向かっているらしいことは、次の事例で一目瞭然だろう。 こんな言い回しは他で見たことがない。 脆弱性情報を公表することの目的が、まだ修正版の存在を知らされていないユーザに対してアップデートの必要性を周知することにあるということは、(ユーザの立場で考えれば)誰でもわかるはずだ。それなのに、ジャストシステムは、まず先に、「ご安心ください」と言う。(図1の1つめの矢印部分。) Kaspersky Internet Security 6.0 および Kaspersky Anti-Virus 6.0のVista対応版プログラム以前の製品(バージョン 6.0.0.306)で5つの脆弱性が発見されています。この問題に対する修正は、3月14日より無償でダウンロード提供しているVista対応版プログ
第10回 RSSのセキュリティ | gihyo.jp
RSSでWebページの更新情報を提供することが多くなりました。ブログソフトウェアやCMS(コンテンツ管理システム)では自動的にRSSフィードを生成してくれます。また、RSS情報を取得し見やすく整形して表示するRSSリーダーを使用してWebサイトの巡回をしている人も多いと思います。今回は、RSSフィードを提供する場合のセキュリティとRSSリーダーのセキュリティについて考えていきます。 RSSフィードのフォーマット RSSにはいくつかのバージョンが存在します。RSS1.0、RSS2.0、Atomがよく使われています。たとえばRSS2.0は以下のようなXML形式のファイルです。このようなRSSフィードをWebサイト運営者が作成し、RSSリーダーがRSSフィードを読み込み、整形して表示するという流れになります。 <?xml version="1.0" encoding="utf-8"?> <rss
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
502 Bad Gateway
