Webアプリケーションのセキュリティ限界に迫る
Webアプリケーションの セキュリティ限界に迫る 国分裕 bun@devnull.jp この資料に関して 本資料の内容を不正アクセスに使用しないで ください。 本資料を使用した結果起こる問題に関して、 著者及びNT-Committee2は一切責任を負い かねます。 Copyright © 2004 Yutaka Kokubu, All Rights Reserved. 2 自己紹介 某社コンサルタント(セキュリティ) "週"記 (http://www.devnull.jp/tdiary/) Copyright © 2004 Yutaka Kokubu, All Rights Reserved. 3 セキュリティを確保するには それぞれのフェーズで対策をする 構築 検査 防御 検知 成熟してるとは言い難い Copyright © 2004 Yutaka Kokubu, Al
週刊:Web担当者フォーラム通信
インプレスビジネスメディア が提供する情報コミュニティサイト 「Web 担当者 Forum」 に掲載された情報を毎週一度、まとめてご紹介するこのコーナー、今回は解説記事 24 本とニュース記事 13 本です。 Web担の姉妹サイトもあります データセンター(iDC)に携わる方には「データセンター完全ガイド」が、レンタルサーバーに興味のある方には「レンタルサーバー完全ガイド」が、企業内情報システムのお仕事をされている方には「IT Leaders」が、お役に立てるはずです。 今回は、SEOmozから要チェック記事が3本です。 ●「外部向けリンクを張るべき5つの理由」は、そのものずばり、外部サイトに向けてリンクを張ることの意味を解説する記事。 最近のSEOでは、ページのテーマ性を打ち出していくことの重要性も高まっている模様。つまり、内容的に関連のない被リンクを数多く獲得するよりも、テーマ的に関連
セキュリティ情報 - UTF-8を利用したIDS/IPS/WAFの検知回避技術
UTF-8を利用したIDS/IPS/WAFの検知回避技術 HASHコンサルティング株式会社 公開日:2009年3月23日 概要 本レポートでは、ASP.NET(1.1)をUTF-8文字エンコーディングにて利用しているサイトにおいて、不正な文字エンコーディングを利用したIDS/IPS/WAF回避の可能性について報告する。 背景 株式会社ラックが2008年10月に「【CSL】CSL緊急注意喚起レポート~新手のSQLインジェクションを行使するボットの確認~」と題するホワイトペーパーを発表した。いくつかの新種の攻撃手法が説明されている中で、不正なパーセントエンコードを利用した検知回避テクニックについて言及している。具体的には、以下のような方法だ。 Active Server Pages(ASP)では、「DEC%LARE」のようにパーセント記号に続く2文字が16進数でない場合、パーセント記号を
IPA ISEC セキュア・プログラミング講座:Webアプリケーション編 第6章 入力・注入対策:SQL注入攻撃: #1 実装における対策
SQLを用いてデータベースを扱うWebアプリケーションは、SQL注入を許さないようにする必要がある。SQL注入攻撃対策のうち、まずは実装における対策について述べる。 文脈に応じた特殊記号対策はコマンド注入攻撃対策と同様である。加えて、プリペアードステートメントの使用や言語の選択による対策を説明する。 「SQL注入(SQL injection)」は、パラメータを埋め込んでSQL文を組み立てる場合、そのパラメータに特殊記号(記号)を含ませたSQLコマンドを与えることによって、データベースの不正操作が可能となってしまう問題である。 参考: CWE-89: Improper Neutralization of Special Elements used in an SQL Command(日本語訳) SQL注入攻撃のメカニズム ここに、次のようなSQL文を使用したログイン判定プログラムがあるとする
SQLとXSSは最凶ツートップ? - 極楽せきゅあブログ
世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?:川口洋のセキュリティ・プライベート・アイズ(13) - @IT これ良い記事だなあ。最近なんかセキュリティ業界のあおりすぎが鼻につく気がしていたんだよね。まあその片棒を思いっきり担いでいたりもしたので、今更何をと言われてしまうだろうけど。 この記事では、実際に即したリスクの分析をちゃんとしようぜ、ということを言っていると思うんだけど、そういうところ大事っすよね。 ただ、あっしの意見はちょっと違うかなあ。あっしは、結局SQLインジェクションとXSSってセットで考えるべきなんじゃないの、と思っていたりします。 そら細かく見れば、対策する方法や対策そのものも異なりますし、例えば「SQLインジェクションには対策を行って、かつXSSの対策は行っていない」という状況になる可能性はゼロではないでしょう。しかし現実的には、SQLインジェクション
SQLインジェクション攻撃はDB上の任意データを盗み出す - ockeghem's blog
前回に引き続き、Think IT上の連載「SQLインジェクション大全」の第4回:ケース別、攻撃の手口を読んで感じたことを書きたい。 まず、この記事は以下のような書き出しから始まっている。 本記事は、システムを防御するにはまず敵を知らなければならない、という意図の下に、攻撃手法を紹介する。 dfltweb1.onamae.com – このドメインはお名前.comで取得されています。 この趣旨に異論があるわけではないが、しかしこの表現は誤解を生みやすいものだと思う。 というのは、「敵」(攻撃方法)を知ったからと言って、防御の方法が導き出せる訳ではないからだ。例えば、開発者が「最近のSQLインジェクションの自動化攻撃にはT-SQLのDECLARE文が用いられる」という情報を得て独自に対策を考えた場合、DECLAREという単語をチェックしてエラーにしたり、単語を削除することを考えがちだと思う。現に
インプレスIT INSIDE » 訂正 SQLインジェクションの対策(Think IT)
訂正記事 SQLインジェクション大全 第3回:SQLインジェクションの対策 訂正内容 1ページ目を下記のように変更いたしました(2個所)。 バインド値はエスケープ処理した後にプレースホルダにはめ込むので、悪意あるSQL文が挿入されても、その実行を阻止することができる(図1-2)。 ↓ SQL文のひな型とバインド値は個別にデータベースに送られ、構文解析されるので、バインド値に悪意あるSQL文が挿入されても、その実行を阻止することができる(図1-2)。 しかし、LIKE句を含むSQL文などについてはバインド機構の適用に注意を要する。これは、「%」や「_」といったワイルドカード文字がバインド機構によってエスケープされないため、割り当てる変数の内容によっては予想外の問い合わせ結果が返ってくる可能性があるからだ。この場合、バインド機構に変数を割り当てる前に、エスケープ処理を使用して、変数に格納されて
第6回■異なる文字集合への変換がぜい弱性につながる
文字集合自体は抽象的な「文字の集まり」に過ぎないので単独で問題になることはないが,異なる文字集合に変換する際には問題が発生する場合がある。文字集合が異なるということは,対応する文字が1対1対応していないので,変換先の文字集合で対応する文字がないケースや,多対1の対応が発生する可能性がある。 図1に,Unicodeからマイクロソフト標準キャラクタセットに変換する場合を例示した。マイクロソフト標準キャラクタセットには「骶」(尾てい骨の“てい”)や,ハングルなどはない。また,バックスラッシュ「\」(U+005C)と円記号「\」(U+00A5)がともにJIS X 0201の「\」(0x5C)に変換される場合について示している。 「漢」のように1対1対応している文字は問題ない。ハングルや「骶」のように対応するコードポイントがない場合はエラーになるか文字化けする。インターネットで「尾 骨 びていこつ」
SQLのバインド機構は「エスケープ処理された値」をはめ込むのか - ockeghem's blog
以前このブログでも取り上げたことのある神戸デジタル・ラボの近藤伸明氏がThink IT上で「SQLインジェクション大全」という連載を執筆しておられる。その第三回「SQLインジェクションの対策」を読んで以下の部分が引っかかった。 バインド機構とは、あらかじめSQL文のひな型を用意し、後から変動個所(プレースホルダ)に実際の値(バインド値)を割り当ててSQL文を生成するデータベースの機能だ。バインド値はエスケープ処理した後にプレースホルダにはめ込むので、悪意あるSQL文が挿入されても、その実行を阻止することができる(図1-2)。 http://thinkit.jp/article/847/1/ たしかにエスケープ処理を使ってバインド機構を実装する場合もある。JavaとMySQLの組み合わせでUnicodeのU+00A5を用いたSQLインジェクションの可能性 | 徳丸浩の日記から派生して、MyS
dfltweb1.onamae.com – このドメインはお名前.comで取得されています。
このドメインは お名前.com から取得されました。 お名前.com は GMOインターネットグループ(株) が運営する国内シェアNo.1のドメイン登録サービスです。 ※表示価格は、全て税込です。 ※サービス品質維持のため、一時的に対象となる料金へ一定割合の「サービス維持調整費」を加算させていただきます。 ※1 「国内シェア」は、ICANN(インターネットのドメイン名などの資源を管理する非営利団体)の公表数値をもとに集計。gTLDが集計の対象。 日本のドメイン登録業者(レジストラ)(「ICANNがレジストラとして認定した企業」一覧(InterNIC提供)内に「Japan」の記載があるもの)を対象。 レジストラ「GMO Internet Group, Inc. d/b/a Onamae.com」のシェア値を集計。 2023年10月時点の調査。
F-Secure Hacked Via XSS, SQL injection
"A Romanian hacker site said on Wednesday it was able to breach the website of Helsinki-based security firm F-Secure just as it had gained access to the sites of two other security companies earlier in the week. F-Secure is "vulnerable to SQL Injection plus Cross Site Scripting," an entry on the HackersBlog site said. "Fortunately, F-Secure doesn't leak sensitive data, just some statistics regardi
dfltweb1.onamae.com – このドメインはお名前.comで取得されています。
このドメインは お名前.com から取得されました。 お名前.com は GMOインターネットグループ(株) が運営する国内シェアNo.1のドメイン登録サービスです。 ※表示価格は、全て税込です。 ※サービス品質維持のため、一時的に対象となる料金へ一定割合の「サービス維持調整費」を加算させていただきます。 ※1 「国内シェア」は、ICANN(インターネットのドメイン名などの資源を管理する非営利団体)の公表数値をもとに集計。gTLDが集計の対象。 日本のドメイン登録業者(レジストラ)(「ICANNがレジストラとして認定した企業」一覧(InterNIC提供)内に「Japan」の記載があるもの)を対象。 レジストラ「GMO Internet Group, Inc. d/b/a Onamae.com」のシェア値を集計。 2023年10月時点の調査。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「成立しない」の意味 | 水無月ばけらのえび日記
xuexi123.net
Microsoft Corporation
