Androidアプリの脆弱性の学習・点検ツール「AnCoLe(アンコール)」(以降、本ツール)は、Androidアプリの開発者を対象とした、脆弱性が作り込まれてしまう原因や対策について実習形式で学べるツールです。詳細は、「ツール概要」をご確認ください。 利用を希望される場合は、ダウンロードページの利用規約の内容に同意の上、使用してください。
レースコンディションとは、並列動作する複数の存在(プロセスやスレッド)が同一のリソースへほぼ同時にアクセスしたとき、予定外の処理結果が生じる問題である データベース更新トランザクションの競合も、そのひとつの例である。あるトランザクションがひとつのレコードを読み取って処理し新しい値を書き戻そうとしているとき、その書き込みが終わる前に別のトランザクションが更新の目的で同じレコードからの読み出しを始めると、結果としてこのレコードには不適切な値が書き込まれることになる。 (1) インテグリティの喪失 並列処理の中で生じる問題にはさまざまなものがあるが、セキュリティ脆弱性の観点からは、レースコンディションを情報のインテグリティが損なわれる問題として捉えることができる。 例えば、あるプロセスPでは次のような手順の処理を行う。: これと並行動作するプロセスQがステップ1と2の間のタイミングで情報ソースを
このウェブページでは、「脆弱性検出の普及活動」(*1)で公開した「ファジング活用の手引き」等の「ファジング」(*2)に関する手引書などを紹介しています。これらの手引書などをご活用いただき、ソフトウェア製品の開発ライフサイクルへのファジング導入につながり、ソフトウェア製品の脆弱性が減少することを期待します。 ファジングコンテンツ一覧
第13-26-294号 掲載日:2013年6月26日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター(IPA/ISEC) IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、企業のウェブ改ざん被害の急増により、一般利用者(ウェブ閲覧者)におけるウイルス感染の危険性が高まっているため、一般利用者に広く注意を呼びかけることを目的として注意喚起情報を発することとしました。 企業や公共機関が運営しているウェブサイトが改ざんされる被害事例が継続的に発生しています。今月にも“トヨタ自動車”、“リコージャパン”、“日本赤十字社”、“札幌市の観光情報サイト”など、比較的利用者が多いと思われるウェブサイトの被害事例が報告されています。 改ざんされたウェブサイトには、閲覧した利用者のパソコンにウイルスを感染させる仕掛けが組み込まれている場合があります。利用者側が適切なセキュリティ対策を
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
複数のWebページを、Webアプリケーションが望んでいない順序でユーザが辿った場合、Webサーバ内のデータの辻褄が合わなくなったり、本来開示すべきでない情報を漏えいするおそれがある。Webアプリケーションは、望ましくないページナビゲーション操作にも一定の対策を講じておく必要がある。 もたらされる被害 どのような現象が生じるかはそれぞれのWebアプリケーションによって異なるが、想定外のナビゲーション操作が行われたとき、プログラムが誤作動して次の被害を生じるおそれがある。 データのインテグリティが損なわれる 適切な順序でデータが組み立てられない状態でデータベース等への書き込みが行われた場合、データが不完全な形で書き換えられ、インテグリティ(一貫性、完全性)が損なわれるおそれがある。 情報漏えいが生じる 検索条件が適切に揃わない状態でデータの検索が行われた場合、本来開示すべきでない情報をWebペ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く