Webアプリの入力検証不備──4つの実例とその対策
Webアプリケーションの入力検証に不備があると、セキュリティ上の深刻な弱点になる恐れがある。しかし、こうした不備は、得てして問題が起こるまで気付かれない。本稿では、わたしがWebアプリケーションのセキュリティ評価を行った際に見つかった入力検証の不備の例を幾つか紹介しよう。 ログインIDが含まれたURL これまでで最も興味深い入力検証の問題を見つけたのは、自分のさまざまな機密情報を保存していたWebサイトだった。ある日、そのサイトを眺めていて、自分専用のログインIDがURLに含まれていることに気付いた。これはWebサイトの最も基本的な、しかし危険な欠陥の1つだ。わたしは「彼らは分かっていないに違いない」と考えた。そこでサイトの管理者に電話で連絡を取り、問題を報告した。彼女は最初は平然としていた。彼女の態度が変わったのは、彼女がそのシステムの自分専用のIDをわたしに教えた後で、わたしが彼女の住
【Q&A】Webアプリケーションのテストケースの作成時間を見積もるには
質問:Webベースアプリケーションのテストケースを準備するのに必要な時間を見積もるにはどうすればいいのですか? わたしの場合は通常、予備的なテストを行うため、テストケースの準備ではセットアップ作業が大半を占める。これは、テストの設計と実施に向けた準備作業だ。予備テストを行わない場合でもセットアップ作業は必要だが、そのほかにもテストの設計やドキュメンテーションに関連した作業が伴う。 わたしの場合、プロジェクトの準備では次のような作業を行う。 製品、ビジネス、実施する変更に関する実際的知識を収集する プロジェクトの目標、テストの目的・スケジュール・方法、チームの構成、連絡体制を把握する 「プロジェクトチームが最も重視しているリスクは何か」「チームが真っ先に報告してほしいと考えているのはどういった問題なのか」を把握する テストの作成に不可欠な要素(要件、製品、ツールなど)を特定し、それらを調達あ
パスワード管理で陥りがちな9つの落とし穴
ITの世界では至る所にパスワードがある。デスクトップにもWebサイトにもVPNにも、常にパスワードが絡んでくる。幸いなことに、パスワードを管理しやすくする手だてはある。だが不幸なことに、当分の間はパスワードから逃れられそうにない。つまり、パスワード管理の不手際から生じるセキュリティ問題は今後も続くということだ。 どんな組織であれ、セキュリティ上の弱点の50%以上は脆弱なパスワードに原因がある。パスワードに本来の役割を果たしてもらい、逆にセキュリティの妨げになるような事態を防ぐため、パスワード管理で陥りがちな9項目の落とし穴を以下に紹介する。 1.弱いパスワード OSレベルでは強い(破られにくい)パスワードに気を配るのに、OSと同じくらい簡単に破られてしまうほかの重要システムのことは忘れてしまう人が多い。スマートフォン、無線LAN、VPN、ファイアウォール、データベース、重要文書などは、いず
ExcelデータのWeb化で情報共有をスムーズに
Webクエリでダイナミックにインターネットやイントラネットのデータを収集 今回は、「Office Excel(以下、Excel)データのWeb化」をテーマに業務効率を高める手法やツールを紹介したい。 連載Index 【第1回】「脱・Excel」から脱するためのExcel活用 【第2回】ExcelデータのWeb化で情報共有をスムーズに 【第3回】オフィスに眠るExcelデータから新発見? クロス集計を活用する 【第4回】Excel+OLAPでスタートする「身近なBI」 前段として、Excelに搭載されている「Webクエリ機能」を利用し、WebとExcelのデータを同期させながら、ダイナミックに情報を収集する方法について触れておこう。これは、WebデータをExcelデータとして取り込む方法である。今回の「ExcelデータのWeb化」とは逆のプロセスとなるものの、WebからExcelに最新データ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
