ログイン機能へのCSRFによるセッション固定 - 知らないけどきっとそう。
危険なのかよくわかんないですけど、はてダ初め書きます http://ido.nu/ayaya/yj.html(対策されてた!) iframe 内で http://login.yahoo.co.jp/config/login に logout=1 を POST して強制的にログアウト状態にする ログインフォームの form タグ部分をスクレイピングし、あらかじめ用意しておいた Yahoo! JAPAN ID とパスワードを埋め込む その HTML を iframe にロードし、submit() で POST させることにより、用意しておいたアカウントでログインさせる メールで「住所情報を更新しないとアカウントが消えます」とか書いて誘導したら、どのくらい釣れるかなあ あーあと、個人情報の入力だけじゃなくて、OAuth の認可とか権限を与える操作もまずい ページは SSL になっていて、アドレス
「複雑すぎるパスワードポリシー」が生み出す問題とは - @IT
2011/03/10 「パスワードポリシーはますます複雑化し、ユーザーの大きな不満の原因となっている。再発行などに対応するヘルプデスクの手間、コストも大きい」――。 日本ベリサインは3月9日、認証ソリューションに関する説明会を開催した。米シマンテックのユーザーオーセンティケーション担当バイスプレジデント、アトリ・チャタジー氏は、パスワード認証にまつわる問題点をこのように指摘し、より強固で高度な認証が求められていると述べた。 ベリサインは2010年9月から11月にかけて、フォレスターリサーチに委託し、企業における認証の現状について調査を行った。北米の306社を対象としたこの調査からは、パスワードポリシーがますます複雑化していること、それにともない企業のヘルプデスクの負荷およびコストが高まっていることが明らかになった。 例えば、回答企業のうち87%では2つ以上の、27%は6つ以上のパスワードを
徳丸さんの 『体系的に学ぶ「安全なWebアプリケーションの作り方」』 を読んだ - たぬきん貧乏日記 〜No Worry, No Hurry. Eat Curry!〜
詳しいレビューはそのうち書くとして,ちょっと斜めから読んでみた感想を。 まず,目次だけで役に立つ。これは非常にポイントが高い。Webプログラマーや設計に携わる人なら目次を暗記するだけでも問題が起きやすいポイントを把握することができる。また,目次が洗練されているということは,内容がよくまとまっていることの証拠でもある。最初からクライマックスだ。 ということで,本書はまずWeb開発に関わる人は全てが「最低限目次だけでも」読んでおくべきだといえるが,私は少し違った読み方をした。 私は業務でペネトレーションテストを行なう。もちろん,プログラムの解析をしてソフトウェアの脆弱性も検査するが,多くはWebサーバに対するペネトレーションテストだ。サーバの設定をスキャンし,結果に基づいて影響範囲を調べる。同時に,Webアプリケーションの脆弱性についても調べる。 本書はペネトレーションテストの実施ポイントの列
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
