「PCでは見えないはず」に頼ることの危険性
“特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部) 無視できない“ケータイWeb”セキュリティ はじめまして。今回からこの連載を担当することになりました徳丸浩といいます。この連載では、携帯電話向けWebアプリケーション(以後「ケータイWeb」と表記します)のセキュリティについて解説します。ここでいう携帯電話とは、iモードやEZweb、Yahoo!ケータイなど、日本で従来、広く利用されているサービスを指します。一方、いわゆるフルブラウザやiPhone、Android端末などは含みません。 ケータイWebは、一般のPCなどから利用されるWebと比較して、使用技術の90%くらいは共通
kur.jp - Mixiアプリ開発の落とし穴
Mixiアプリが流行しているようです. 参考:mixiアプリ効果 PC版mixi、9月のPV・滞在時間が急拡大 この機会に,Mixiアプリでも作ってみようかなという方も居るのではないでしょうか. そこで,Webアプリの開発に慣れていない人がMixiアプリを開発するにあたって,見落としがちなポイントについて紹介します. ソースコードは誰でも見ることができる. MixiアプリのソースコードはJavaScriptです.JavaScriptは仕組み上,Webブラウザに読み込まれて,Webブラウザの上で動作します.ですので,誰でもがソースコードを読むことが可能だと思ってください. ですので,ソースコードにパスワードを直接記述したり,自作の暗号アルゴリズムを実装したり等は避けたほうが無難です.また,Mixiアプリでゲームを開発する場合,アルゴリズム等が流出してしまうと,その知識をもとに高得点を狙うユー
WIRESHARK(ワイアシャーク)
EtherealがWireshark(ワイアシャーク)という名前になりました。 Etherealの頃からずっとお世話になっています。便利なツールなので、使いこなしてみてください。 PR 目次 ダウンロード インストール 初期設定を変更しよう キャプチャスタート方法 フィルタ フローグラフ リンク 更に詳しく 1.ダウンロード http://www.wireshark.org/ のGet Wireshark Now をクリック。 SOURCEFORGE.NETにつながります。ブラウザにセキュリティのポップアップが出る場合は、ファイルのダウンロードを選択して先に進んでください。 InternetExplorer7の場合、以下のようにブラウザ上部にポップアップバーが表示されます。これを右クリックし、ファイルのダウンロードを選択してください。 2.インストール ダウンロードしたファイルをダ
「わざと脆弱性を持たせたWebアプリ」で練習を
命名・「やられWebアプリケーション」(仮) 構築したWebアプリケーションがセキュアかどうかを確かめる方法として、疑似的に攻撃を行うことで問題を発見する「脆弱性診断」があります。脆弱性診断は専門業者が実施することがほとんどだと思いますが、あなた自らが脆弱性診断の技術を身につけることで、セキュアWebアプリケーションについての理解が深まるとか、自社内で脆弱性診断ができるようになるといったこともあるかもしれません。 脆弱性診断の技術を身につける過程では、脆弱性を見つける手法を試したり、診断ツールを試したりする必要がありますが、診断といえど攻撃と同様のことを行うので、気軽に実稼働環境で実験するわけにもいきません。ましてや、他人や他社のWebサイトで試すなどはもってのほかです。 そこで、わざと脆弱性を持たせたWebアプリケーションと、それを動作させる環境が必要になります。 このような環境をわざわ
内部統制時代の統合ログ管理を考える ― @IT
川原 一郎 インフォサイエンス株式会社 プロダクト事業部 マネージャー 2006/12/1 日本版SOX法という言葉はここ数年で一般に知られるようになったが、実際に何をすべきかという点まで理解している人は少ないのではないだろうか。 エンジニアが普段慣れ親しんでいる「ログ」は、さまざまなアプリケーションで出力されている。そのログを内部統制で利用するには、単にログが取られているというだけでは不十分である。 そこで、内部統制の観点から統合ログ管理システムが持つべき機能について紹介する(編集部) ログは遍在している ログとは、一般的にはコンピュータにおける利用状況や、データ通信の記録を取ったデータのことを指します。具体的にはコンピュータにおける操作やデータの送受信が行われた日時、誰によってどんな操作が行われたのか、どんなデータが送受信されたのか、などの情報が記録されます。 現在、企業システムで通常
Javascriptのescape関数で判読を難しくする
株式会社プランセスの全面協力の元、HTML暗号化ソフト「SHTML」を2005年7月11日にリリースしました。 Javascriptの知識が全くない方でも利用可能なように設計されています。最短ステップの場合、暗号化したいソースを貼り付けて、「暗号化する」ボタンをクリックするだけです!! 右クリック禁止+ソースの暗号化+印刷禁止+テキスト選択禁止・・・が今までにないほど簡単に!! Javascriptのescape関数を用いると、日本語などそのままURLに渡すと問題が起こる可能性のある文字をエンコードしてくれます。IEでは、ユニコードにエンコードしてくれます。例えば、「あ」という文字はIEでは「%u3042」と「%u」で始まる文字列にエンコードしてくれます。 一方、Netscapeでは、escape関数を用いると文字列をISO-Latin-1コード(ASCIIコード)に変換してくれます。例え
Webアプリケーションの脆弱性を総括する
SQLインジェクション ユーザー入力を使ってSQL文を発行しているアプリケーションに対して、不正な入力を与えることにより別の意味となるSQL文を発行させる攻撃のことである。ユーザー入力をそのままSQL文に使用してしまうことが主な原因である。 認証にデータベースを使用している場合、認証をバイパスされてしまうことがある。また、データベース内の任意のデータの参照やデータ改ざん、破壊といった攻撃を受ける場合もある。アプリケーションレベルの直接攻撃であるため危険度は非常に高い。 脆弱性が存在する可能性がある個所 当然SQL文を発行している個所が対象となる。SQL文を発行するであろう主な機能を以下に挙げる。開発時にSQL文を呼び出しているアプリケーションをすべてリストアップしておくと脆弱性検査が楽になる。 ログイン 検索 個人情報表示 何らかの処理のコミット(登録、買い物など) 対策 入力チェック サ
今夜分かるSQLインジェクション対策 ― @IT
【関連記事】 本内容についてのアップデート記事を公開しています。あわせてご確認ください(編集部) Security&Trustウォッチ(60) 今夜こそわかる安全なSQLの呼び出し方 ~ 高木浩光氏に聞いてみた http://www.atmarkit.co.jp/fsecurity/column/ueno/60.html Webアプリケーションに対する攻撃手法の1つであるSQLインジェクションの存在は、かなり広く知られるようになった。しかし、その対策はまだ本当に理解されていないように思える。フォームから渡された値の特殊文字をエスケープしたり、PHPのmagic_quotes_gpcといった自動エスケープ機能をオンにするだけで対策したつもりになっていないだろうか。 基本はもちろん、セカンドオーダーSQLインジェクションやマルチバイト文字を利用したSQLインジェクションの攻撃パターンや、その対
SQL Injection対策 - ライティング・セキュアコード - Visual Studio User Group
最近の大量個人情報漏洩事件などでは、SQL Injectionによる被害がほとんどです。 にもかかわらず、SQL Injectionとは何かすら知られていない場合も少なくありません。 実は私も「’」シングルクォーテーションをエスケープすれば大丈夫程度の認識でしたが、それだけでは十分ではないみたいですね。 参考資料として下記の資料を見つけました。 http://www.wasf.net/wg-eval-sql200509.pdf う~む、思ったより奥が深い・・・。 皆さんが日ごろ注意しているSQL Injection対策やお勧めの参考資料があれば、教えてください。shinchan55 To Be Continued...
)
SQL インジェクション
SQL インジェクションとは、後で SQL Server のインスタンスに渡され解析および実行が行われる文字列に、有害なコードを挿入するという攻撃です。SQL Server では、構文的に有効であれば受信したクエリがすべて実行されるため、SQL ステートメントを構成するすべてのプロシージャにおいて、インジェクションに対する脆弱性を検証する必要があります。高いスキルを持つ決然たる攻撃者は、パラメータ化されたデータであっても操作できるのです。 SQL インジェクションは主に、SQL コマンドと連結されて実行されるユーザー入力変数にコードを直接挿入することにより行われます。それほど直接的ではない攻撃では、悪意のあるコードが、テーブル内の記憶領域に格納される文字列に挿入されたり、メタデータとして挿入されたりします。格納された文字列が動的な SQL コマンドに後で連結された場合、悪意のあるコードが実
エラー処理設計:対処方法をシステム全体で定める
システムのエラー処理を総合的に設計する どんなシステムでもエラー処理は欠かせず、たいていは大きな割合を占める。システム上のエラーはもちろん、業務上に代表される問題領域のエラーまで対応しなければならないからだ。エラー処理の基本は、エラーを検出し、その結果によって適切な処理を実行すること。しかし、システム全体でみれば、異なるタイプのエラーが数多くあるため、エラー処理が分散するし、エラーの種類ごとに対処が違う。完成度の高いシステムを目指すなら、全部のエラーを把握しながら、システムを設計する必要がある。 一部のエラー処理は、システムの基本構造と深く関係している。エラー処理を重視すると、システムの基本構造に影響を与える。逆に、システムの基本構造がエラー処理の一部を制限することもある。仕方がないので、両者の妥協点を見付けるしかない。 この点を考慮し、次のような手順で基本構造を設計する。最初は、エラーが
セキュリティレベルの高いサイトを構築する 22 カ条 :: Drk7jp:
最近、何処の会社でもセキュリティに関してうるさく言われているかと思います。自分としても今まで気を遣ってきていたつもりではあります。しかしながら、 なぜSSL利用をケチるのか:IT Pro SSLを入力画面から使用しないのはそろそろ「脆弱性」と判断してしまってよいころかも 安全なWebサイト設計の注意点 を読んでみて、お恥ずかしい限りですが勘違いしていた部分もありました。実際、Amazon とか Yahoo! のログイン画面を見ても、デフォルトが http によるアクセスになっていたりして、メジャーどころでも最新の注意が払われている訳ではないのだなぁ〜と思ったり・・・。本当は全ページ SSL が理想とは知りつつも、SSL の処理負荷の高さ故に、ついついケチったページ遷移にしまうからなのでしょう。。。自分含めて。 自分への情報もかねて、上記ページに記載されている、31箇条の鉄則と最近の事情を加
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
脆弱性対策情報 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
2-1. SQL組み立て時の引数チェック