過去の失敗例に学ぶウェブサイトのセキュリティ--IPAが資料の改訂版を公開
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 情報処理推進機構(IPA)は1月20日、ウェブサイト開発者、運営者向けの資料「安全なウェブサイトの作り方 改訂第4版」を公開した。脆弱性対策の普及促進のため「失敗例」の情報を拡充し、より安全にウェブサイトを作成できるように配慮した。同資料はPDF形式で配布されており、IPAのサイトからダウンロードできる。 同資料は、IPAが届け出を受けた脆弱性関連情報をもとに、届け出件数の多かった脆弱性や、攻撃による影響が大きい脆弱性を取り上げ、開発者や運営者がセキュリティに配慮したサイトを作成するため際に参考となる資料だ。 改訂第4版では、「OSコマンドインジェクション」「パス名パラメータの未チェック」「クロスサイトリクエストフォージェリ」「HTTP
Yosuke HASEGAWA on Twitter: "ftp で http://utf-8.jp/ を更新したら、 /* GNU GPL */ とか挿入されたっぽい。"
ftp で http://utf-8.jp/ を更新したら、 /* GNU GPL */ とか挿入されたっぽい。
川口洋のセキュリティ・プライベート・アイズ(22) 新春早々の「Gumblar一問一答」 − @IT
皆さん明けましておめでとうございます。川口です。2010年も引き続き「川口洋のセキュリティ・プライベート・アイズ」をよろしくお願いします。このコラムも20回を超え、初めてお会いした方が読んでくださっていたということも増えてきました。これからもJSOCという特別な場所から見える風景をお伝えしようと思っています。 前回のコラム「実はBlasterやNetsky並み? 静かにはびこる“Gumblar”」で書いたGumblarの被害がいまも継続しています。特に年が明けてからは、大手サイトの改ざん事件が報道され、注目がさらに集まっているようです。JSOCのお客様でも感染被害やホームページ改ざん被害が継続しており、新年早々のんびりはできないようです。 今回のコラムはスタイルを変えて、私がGumblarについてよく質問されることについて答えるかたちで、Gumblarの現状を説明します。厳密には、このウイ
「失敗」事例を拡充、IPAがWebサイト構築の最新資料を公開
IPAはセキュリティを考慮したWebサイトを作成するための資料「安全なウェブサイトの作り方 改訂第4版」を公開した。 情報処理推進機構(IPA)は1月20日、セキュリティを考慮したWebサイトを作成するための資料の最新版「安全なウェブサイトの作り方 改訂第4版」をWebで公開した(PDF資料)。 同資料は、IPAが届出を受けた脆弱性関連情報を基に、届出件数の多い脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、Webサイト開発者や運営者へセキュリティを考慮したサイトを作成することを目的に提供している。 最新版では、OSコマンドインジェクションやパス名パラメータの未チェック、クロスサイト・リクエスト・フォージェリ、HTTPヘッダ・インジェクションの脆弱性に関する失敗例を追記。Webアプリケーション開発に携わるベンダーでの脆弱性事例を参考に記載した。また、Webアプリケーションファイアウォール
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
IEのポインタ参照処理の脆弱性(CVE-2010-0249)検証メモ — (n)
life is penetration. geeks cheer. geeks be ambitious.Googleが攻撃されて、それを逆ハックなんて触れ込みで注目されている(?) IEのポインタ参照処理の脆弱性(CVE-2010-0249)について検証してみました。 検証では、脆弱性の存在するターゲットPC(Windows XP SP2 & IE 6)で 細工された応答を返すサーバにアクセスすることで脆弱性を利用した攻撃を行い、 任意のサーバの任意のポートにコネクトバックさせ、結果、シェルを奪取するというものです。 下図は、細工された応答を返すサーバを起動させたところです。 このサーバへアクセスさせた結果、ターゲットPCの制御を奪うことに成功しました。 この脆弱性は、このエントリー作成現在、 修正プログラムがリリースされいないため暫定の回避策を行うことになります。 M
携帯の固有IDのみで認証 - 趣味の延長線
Authコンポーネントによる認証は、通常はusersのusernameとpasswordの照合で行うので、この2項目の登録が必須*1ですが、 携帯の固有IDの登録のみで認証を通す方法もありました。 (追記:1/20 22:32 id:ockeghemさんからのご指摘を受けて、IPチェックの必要性について追記しました。) まず、前提として、usersが以下のような内容になっているとします。 mysql> SELECT id, name, username, password, mobile_id FROM users WHERE id=2\G *************************** 1. row *************************** id: 2 name: Cake username: password: mobile_id: eecca936b0ef58b
内閣府ウェブサイトの常時暗号化による「https:」への切り替え - 内閣府
内閣府ウェブサイトの常時暗号化による「https:」への切り替え Always on TLS of Cabinet Office Website 2019(令和元)年11月更新 Update,November,2019 内閣府ウェブサイトは、2018年11月29日より、常時暗号化通信(TLS1.2)となり、URLが以下のとおり、「https:」に変更となりました。※ ブックマーク機能等に「http:」で始まるURLを登録している場合や、リンクを貼っている場合等は、「https:」から始まるURLに切り替えていただきますよう、お願いいたします。 ※参考:2018年11月から2019年10月までは、httpによる接続を可能とする自動遷移の経過措置をとっておりました。 内閣府ホームページ(https://www.cao.go.jp/) 内閣府共通検索システム Cabinet Office has
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
経済、株価、ビジネス、政治のニュース:日経電子版
Microsoft、IEのパッチをリリースへ