日本IBM、Webサイトのセキュリティと法令順守を検査・管理する新製品
日本アイ・ビー・エム株式会社(日本IBM)は3月11日、Webアプリケーション脆弱性検査ツールの新版「IBM Rational AppScan Enterprise Edition V5.5(以下、AppScan EE 5.5)」、およびWebサイトのコンプライアンス管理を行う新製品群「IBM Rational Policy Tester V5.5(以下、Policy Tester 5.5)」の日本語版を発表した。 AppScan EE 5.5は、Webサイトにおけるセキュリティリスクを解決する製品。Webアプリケーションに疑似テストを行うことで脆弱性を検査し、その結果と実施状態まで可視化してくれる。検査結果に関する各種レポートやグラフィカルなダッシュボードなどを備え、新版ではそれらに対するアクセス制限も可能になった。複数サーバーでの利用によるスケーラビリティ向上も図られている。価格は36
制御文字をどうするのか | 水無月ばけらのえび日記
公開: 2009年3月11日0時12分頃 正規表現で「制御文字以外」のチェック (d.hatena.ne.jp) 個人的には、RLO(U+202E)みたいなUnicode系の制御文字をどう扱うべきなのかで悩みますね。入れられると困る気もするし、入れられないと困るような気もするし……。結局入れられるようにしてしまう事が多いのですが、RLOを入れられると表示が乱れたりする事があるわけで。 「制御文字をどうするのか」にコメントを書く関連する話題: Web
文字コードのセキュリティ問題はどう対策すべきか: U+00A5を用いたXSSの可能性 - 徳丸浩の日記(2009-03-11)
_U+00A5を用いたXSSの可能性 前回の日記では、昨年のBlack Hat Japanにおける長谷川陽介氏の講演に「趣味と実益の文字コード攻撃(講演資料)」に刺激される形で、Unicodeの円記号U+00A5によるSQLインジェクションの可能性について指摘した。 はせがわ氏の元資料ではパストラバーサルの可能性を指摘しておられるので、残る脆弱性パターンとしてクロスサイト・スクリプティング(XSS)の可能性があるかどうかがずっと気になっていた。独自の調査により、XSS攻撃の起点となる「<」や「"」、「'」などについて「多対一の変換」がされる文字を探してきたが、現実的なWebアプリケーションで出現しそうな組み合わせは見つけられていない。 一方、U+00A5が処理系によっては0x5C「\」に変換されることに起因してXSSが発生する可能性はある。JavaScriptがからむ場合がそれだ。しかし、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
