【レポート】RSA Conference Japan 2006 - Webアプリの脆弱性はなぜ発生するのか? (1) Webアプリに脆弱性が発生する理由を6つの側面から分析 (MYCOM PC WEB)
Webアプリケーションの脆弱性を突かれて個人情報や企業の機密情報が漏洩する――そんなニュースが珍しくない昨今。一方でWebアプリが企業の基幹業務で使われる機会は増加の一途を辿っており、今やWebアプリの脆弱性をどうやってなくすかは多くの企業にとって死活問題となりつつある。果たしてどうすればこの脆弱性を無くす、あるいは減らすことができるのか――その点について研究している団体はいくつか存在するが、日本において大きな存在感を示しているのがWeb Application Securityフォーラム(WASフォーラム)だ。 RSA Conference Japan 2006において、WASフォーラム代表で奈良先端科学技術大学院大学の門林雄基助教授が、過去のWASフォーラムでの研究成果(WASフォーラム主催のカンファレンスで発表済みのものを含む)をまとめる形で、現状考えられるWebアプリの脆弱性が生
サーブレットコンテナが抱える問題を認識する
サーブレットコンテナが抱える問題を認識する:Strutsで作るセキュアWebアプリケーション(2)(1/3 ページ) 第1回「適切なエスケープ処理でクロスサイトスクリプティングに備える」では、Strutsカスタムタグを使用する際の注意点を解説した。今回はサーブレットコンテナが抱える問題にまで視野を広げて、クロスサイトスクリプティング(Cross Site Scripting:XSS)に関する注意点を考察していこう。 エラーページで動作するスクリプト アプリケーションが返すレスポンスは、必ずしもアプリケーションの開発者が作成したものとは限らない。例えば、アプリケーション内において例外が発生した場合、明示的な指定がなければ製品のデフォルトエラーページが表示される。デフォルトエラーページはデバッグ用に用意されているものが多いため、表示内容には問題の起因となったパラメータやスタックトレースが含まれ
高木浩光@自宅の日記 - 続・「サニタイズ言うなキャンペーン」とは
■ 続・「サニタイズ言うなキャンペーン」とは 「サニタイズ」という言葉はもう死んでいる サニタイズ言うなキャンペーンがわかりにくい理由, 水無月ばけらのえび日記, 2006年1月5日 というコメントを頂いた。まず、 これは「サニタイズという言葉を使うな」という主張ではありません。「そもそもサニタイズしなくて済むようにすべきだ」という主張です。言い方を変えると、「サニタイズせよと言うな」という主張になります。 「サニタイズ言うなキャンペーンがわかりにくい理由」, 水無月ばけらのえび日記, 2006年1月5日 とある。「サニタイズせよと言うな」キャンペーンでもよいのだが、 その場合は次の展開が予想される。 「サニタイズせよと言うな」を主張する際の具体例として、XSSやSQLインジェ クションのケースを挙げた場合、正しいコーディングは、「その場の文脈でメ タ文字となる文字をエスケープすること」と
高木浩光@自宅の日記 - 要約版:「サニタイズ言うなキャンペーン」とは
■ 「逆」にしたERBが登場 27日の「(略)とかERBとか、逆だったらよかったのに」の件、大岩さんが、逆にしたERB改造版を作ってくれた。 自動quoteつきERBの実験, おおいわのこめんと (2005-12-29) さて、使い勝手はどうだろうか。 ■ 要約版:「サニタイズ言うなキャンペーン」とは 27日の日記「『サニタイズ言うなキャンペーン』とは何か」は、いろいろ盛り込みすぎたせいか思ったよりわかりにくいものになって いるらしいので、結論から順に整理しなおしてみる。 結論: まず「サニタイズ」という言葉を使うのを避けてみてはどうか。正しく説明することの困難から逃げようとしないで。 例外1: 万が一に脆弱性があるかもしれないことを想定しての保険として、CGIの入力段階でパラメタを洗浄することを、サニタイズと言うのはかまわない。 例外2: 既存のシステムに応急手当としてCGIの入力段階で
サニタイズ言うなキャンペーンがわかりにくい理由 | 水無月ばけらのえび日記
「サニタイズ言うなキャンペーン」とは何か (takagi-hiromitsu.jp)要約版:「サニタイズ言うなキャンペーン」とは (takagi-hiromitsu.jp)個人的には、「サニタイズ言うなキャンペーン」がわかりにくくなっている最大の要因は、「サニタイズと言うな」という語の多義性にあるのではないかと思います。私は最初にこの話を見たとき、これを「サニタイズという言葉を使うな」と解釈して、以下のような主張なのではないかと予想しました。 とある概念を、「サニタイズ」と呼んではならない「サニタイズ」という言葉を使うのではなく、別のもっと適切な言い方をすべきであるしかし、「「サニタイズ言うなキャンペーン」とは何か (takagi-hiromitsu.jp)」の議論を見ると、これはむしろ以下のような話であるように思えます。 きちんとしたプログラミングの手法をとれば、プログラマが「サニタイズ
【レポート】セキュアなWebアプリ実現のために本来やるべきことは? - 高木浩光氏 | エンタープライズ | マイコミジャーナル
いわゆる「Webアプリケーション」のセキュリティに関する問題を論議する「Web Application Security Forum(WASF)」が、7月8日に都内で第2回のカンファレンスを開催した。同カンファレンスでは、セキュリティ業界ではもはやおなじみの存在であり、WASFの理事でもある産業技術総合研究所の高木浩光氏が講演を行った。 おなじみ高木浩光氏。この日はWASF理事として登場 キーワードジャーナリズムは世間一般への啓発のために有効 高木氏の講演は「増えつつある疑わしいキーワードを斬る〜キーワードジャーナリズムに踊らされるな〜」という題名で予定されていたが、高木氏は冒頭でいきなり「この題名は理事会で決められたものだが、私個人はむしろ『キーワードジャーナリズム万歳』という風に思っており、参加者の皆さんこそ『講演の題名に踊らされるな』と言いたい」と述べて会場を笑わせた。 その上で高木
高木浩光@自宅の日記 - ASPとかJSPとかPHPとかERBとか、逆だったらよかったのに
■ プログラミング解説書籍の脆弱性をどうするか 印刷されて流通する書籍に脆弱性がある、つまり掲載されているサンプルコードにズバリ脆弱性があるとか、脆弱性を産みやすいコーディングスタイルを身につけさせている解説があり、それが脆弱なプログラマを生産し続ける根源になっている問題は、「なんとかしないといけないねえ」と以前から言われてきた。 ソフトウェア製品の脆弱性は、指摘があればパッチが提供されたり修正版に差し替えられたりするが、書籍の脆弱性はどうか。正誤表が差し込まれるとか、回収する措置がとられるかというと、それは望めそうにない。言論には言論で対抗すればよいということになるだろうか。 久しぶりにいくつかの書籍について調べてみた。先月園田さんの日記などで比較的評判良く紹介されていた2冊を読んだ。 山本勇, PHP実践のツボ セキュアプログラミング編, 九天社, 2004年6月 GIJOE, PHP
Microsoft、Webフィルタリングソフトを買収
米Microsoftは米ソフトメーカーのFutureSoftからWebフィルタリングソフト「DynaComm i:filter」を買収した。 米Microsoftは2月9日、米ソフトメーカーのFutureSoftからWebフィルタリングソフト「DynaComm i:filter」を買収したことを明らかにした。 DynaComm i:filterは、企業が社内環境でのWebアクセスを管理できるようにする製品。同製品を買収したのは、リッチなデータベースと包括的な管理機能を有しているからだとMicrosoftのセキュリティ・アクセス・ソリューション部門副社長テッド・クマート氏は話している。同製品は既にMicrosoftのInternet Security and Acceleration(ISA)Serverに統合されており、Microsoftはさらに統合を深めることを考えているという。 また同
いしなお! - 徳保さんのはてなXSS関連の認識の間違い
_ 徳保さんのはてなXSS関連の認識の間違い あるいは「ブログサービスの XSS 脆弱性対策はいらない その3」。 徳保さんはセキュリティ関係の知識が足りていないんで、きちんと勉強するまではXSSなどのセキュリティ関係の用語を使わないで語った方がいい。というか誤解を広げめられると迷惑だ。 「d.hatena.ne.jp 以下のコンテンツでスクリプトの悪用はありません、なぜならはてなが特別に許可したスクリプト以外は使用が制限されているからです」という安心感を売り物にしようとしている はてなはCookieによるユーザー認証を利用しており、ユーザーに自由なJavaScriptを許すと、認証情報の盗難・悪用が可能になるから、ユーザーのJavaScript利用を禁止している。それは「安心感を売り物にしている」というレベルではなく、ユーザー認証を利用したサービスを提供しているサービス提供者の最低限の義
閲覧者の安全はほどほどに守れば十分だ
XSS 脆弱性対策のみならず、「ブラウザの脆弱性に起因する問題についてもブログサービスは対処すべき=ユーザによる任意のスクリプト利用は禁止すべき」といった考え方に対置する意見を、以下に記します。 hoshikuzu | star_dust の書斎(2006-02-06) (いくつかの不便と引き換えに)なりすまし問題が生じないサービス設計を行っている fc2 ブログでは、ユーザが任意のスクリプトを利用できます。したがって fc2 ブログでは「極悪スクリプト」を貼ることができます。けれども、閲覧者が fc2 ブログで被害にあったとき、script 要素を許可している fc2 が悪いと思う人より、ブラクラを仕掛けたユーザが悪いと考える人が多いでしょう。isweb や geocities や cool でもそうだったように。 ブログサービスは横のつながりを強く意識しています。はてなで言えばキーワー
hoshikuzu | star_dust の書斎:ブログサービスの XSS 脆弱性対策はいらない−のか?
■ブログサービスの XSS 脆弱性対策はいらない−のか? 発端 ブログサービスの XSS 脆弱性対策はいらない::はてなブックマーク ブログサービスの XSS 脆弱性対策はいらない::備忘録2006-02-05::趣味のWebデザイン (2006/02/08:内容が大幅に変更されています。当初批判した徳保さんの記事の一部分についてはたまたま2/6に、参考文献として、ほぼ全文引用してありましたので御参照下さい。) 徳保さんはHTMLやCSSを初心者に教えていらっしゃるのですから… HTMLやCSSを自サイトで初心者に教えていらっしゃる徳保さんが、よもやこのようなことを仰るとは思いませんでした。影響力が大きい徳保さんだけに憂いを感じます。 ブログは自由な個人の情報の発信基地 XSSは誰がブログに記事を書いたのかをわからなくします。はまちちゃんが被害者の日記に好き勝手に書いていることからも自明で
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
