タグ

2009年11月30日のブックマーク (4件)

  • @IT:セキュリティ用語事典[クロスサイトスクリプティング]

    クロスサイトスクリプティング(Cross Site Scripting)とは、Webアプリケーションの脆弱性の一種、またはそれを突く攻撃手法の名称のことだ。 クロスサイトスクリプティング(Cross Site Scripting)とは、Webアプリケーションの脆弱(ぜいじゃく)性の一種、またはそれを突く攻撃手法の名称のことだ。「XSS」という略称が用いられることも多い。 Webアプリケーションのユーザーを標的とする攻撃手法であり、標的ユーザーへのなりすましや、標的ユーザーしか知り得ない情報の漏えいなどにつながることが知られている一方、情報処理推進機構発行の「ソフトウェア等の脆弱性関連情報の取扱いに関する届出状況[2016年第2四半期(4月~6月)]」では、Webサイトで発見、報告された脆弱性の過半数がクロスサイトスクリプティングであると報告されているなど、日々多くのWebサイトでクロスサイ

    @IT:セキュリティ用語事典[クロスサイトスクリプティング]
    ockeghem
    ockeghem 2009/11/30
    これは駄目だなぁと思ったら、既に高木先生がブクマしておられた。XSS攻撃を説明したいのか、XSS脆弱性の話かがはっきりしないし、XSSが受動的攻撃だということもこの文章では分からない
    リンク

  • 『クロスサイトスクリプティング(XSS)』

    応用情報技術者試験に受からなかったらクビ。 PG2年目24歳が2010年4月に実施される応用情報技術者試験に挑みます。たくさん更新して御免なさい。もう必死なんです。 検索エンジンなどのWebサイトのキーワード入力欄にスクリプトを含んだタグを打ち込むと、そのサーバの脆弱性の度合いによって、cookieを吐き出したり、読み出されたcookieデータが第三者のサーバに転送されるなどの可能性があることを、クロスサイトスクリプティングと呼ぶ。 悪意を持ったユーザがフォームなどを通してJavaScriptなどのスクリプトコードを入力した時に、プログラム側に適切なチェック機構がないと、そのスクリプト内容がそのままHTMLに埋め込まれ、ページを閲覧したコンピュータでスクリプトが実行されてしまうことがある。 このような形でページに埋め込まれてしまったスクリプトは、Webブラウザではページ作成者以外が埋め込ん

    『クロスサイトスクリプティング(XSS)』
    ockeghem
    ockeghem 2009/11/30
    残念ながら全然だめ。かわいそうだがこのままだとクビかも。http://www.atmarkit.co.jp/aig/02security/crosssitescripting.html からのコピペだろうけど、コピペ元を厳選しないと…健闘を祈る / 当然ながらコピペ推奨というわけじゃないよ
    リンク

  • 偽偽夜食日記: MySQLのクライアント側からの正しい文字コードの指定方法 (2009-11-30 )

    カテゴリ: MySQL 先日まとめたようにMySQLの接続文字セットを設定する方法は以下の5通りの方法がある。 グローバルなオプションファイルで指定する アプリケーション独自のオプションファイルで指定する mysql_options()で文字セットを直接指定する mysql_set_character_set()で指定する SET NAMESで指定する だが、「MySQL/Rubyにおける正しいエンコーディング変更方法 - しばそんノート」によると、mysql_options()のMYSQL_SET_CHARSET_NAMEではクライアント側の状態しか変更しないらしい。mysql_set_character_set()はmysql->charsetを設定しつつSET NAMESしているだけ、mysql_real_connect()には接続文字セットをサーバに送る機能は無いということは、接続

  • セキュア開発にも仕分けが必要だ - ockeghem's blog

    間際の案内で恐縮ですが、今週の木曜と金曜に、ほぼ同じテーマで講演します。いずれも無料です。 2009年12月4日(金) 「これからのWebアプリケーションセキュリティ」セミナー 日アイ・ビー・エム株式会社 社事業所(箱崎) 2009年12月3日(木)セキュア開発プロセス対策セミナー KCCS東京支社(泉岳寺) 同じ内容で、2010年1月21日、2月18日にも開催されます 箱崎の方は80名、泉岳寺の方は10名ですし、開催時間なども異なります。ご都合の良い方、あるいは会場の大きさに対する好みなどで選択されればよいと思います。 敢えて内容の差を説明するならば、テクマトリックスさんのセミナーでは、発注・契約・要件などの最上流と開発プロセスの話に絞ること、KCCSさんのセミナーでは上記に加えセキュリティ検査の中身の話もします。上流やプロセスの話に興味の中心がある方およびAppScanによる検査に

    セキュア開発にも仕分けが必要だ - ockeghem's blog
    ockeghem
    ockeghem 2009/11/30
    テクマトリックスとKCCSのセミナーで講演します
    リンク

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.