サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
体力トレーニング
www.devnull.jp
_ [etc] 情報セキュリティの日 さて、私事で恐縮ですが、本日婚姻届を提出し無事受理されました。 至らぬ点が多々ありご迷惑おかけすることもあるかと思いますが、今後ともよろしくお願いします。
_ [webappsec] 徳丸浩の日記 - そろそろ入力値検証に関して一言いっとくか - Webアプリケーション脆弱性対策としての入力値検証について とてもよくまとまってると思います。では、現状はどうなのか、というのを過去〜最近の経験から。 「住所欄や掲示板への投稿本文欄など、実質的に文字種を制限できない」値に対してはエスケープするなど正しく実装されてることが多いです。それが要件として明記されているのか、単にエスケープしないとデータが壊れるからか、プログラマが意図的に行っているのか、理由はよくわからないですけど。 問題がよく見つかるのは、「電話番号とか、価格とか、メールアドレスのように文字種や桁数などが限定される」値や、もっと値が限定できるはずの「hidden値やselectboxで選択された値」の方だったりします。 なので、次は何に注意して開発をすればいいかと聞かれたら、(当たり前の)
_ [webappsec] [WEB SECURITY] Universal XSS with PDF files: highly dangerous サイト上にPDFがある場合、 http://path/to/pdf/file.pdf#whatever_name_you_want=javascript:your_code_here とアクセスすることで、スクリプトが実行されてしまうという問題。 Firefox 2.0 + Acrobat 7.0 で再現を確認。ちょっと凝ったスクリプトを実行させようとしたら Firefox が死んでしまったのでどこまでできるのか不明だけど他サイトに置いたスクリプトを読み込ませられたので、こりゃやばそう。 Acrobat 側の問題だとは思うけど放置しておけないので、手元の環境では、Content-Type: application/pdf ではなく、appl
_ [webappsec] エスケープだけしてれば、セキュリティ対策が万全になる訳ではないですよ select password from usertable where id = 入力値 (idが数値型) 入力値に 1 or 1 = 1 が与えられると・・・ といった攻撃を防ぐことは出来ません。このケースでは、前もって入力値が数値型であることを確認しておかなければなりません。 違いますよね。数値かどうかはDBがチェックすべきものでしょう。それをしてくれないのだとしても、最初から入力値を「'」で括っときゃいいんです。 <input type="hidden" value=入力値> を防ぐことはできません、って言ってるのと同じじゃないですか? 入力値の数値チェックをしなくていいわけじゃないけど、入力値チェックを組み込む手間と、「'」を2つ追記する手間を考えたら、どっちが簡単で美しい対策かわか
このページを最初にブックマークしてみませんか?
『www.devnull.jp』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く