Webアプリの脆弱性を検出するツールはありますか?
MSDNフォーラムで表記の質問を見かけました。同フォーラムの活動実績がないせいか、回答にリンクを貼ると拒否されましたので、こちらに回答します。 ここからが質問なのですが、プログラムの実装が完了したあと、脆弱性が潜んでいないかをチェックする必要があるのですが、脆弱性を検出するツールなどがありましたら教えてください。できれば、無償で使える物で、環境にあまり依存しないもの(Windows Serverのバージョンや、DBMSの種類に依存しないもの)がよいです。 Webアプリの脆弱性を検出するツールはありますか? 以下、回答です。 ご要望の条件をすべて満たすツールは、おそらくないと思います。 少し古いエントリになりますが、以下のブログにWebアプリケーションの脆弱性を調べるツールがまとめられています。 サーバ/Webアプリケーション脆弱性チェックツールの個人的まとめ(フリー/有償) 良い物は高価、
サードパーティCookieの歴史と現状 Part1 前提知識の共有 - 最速転職研究会
Web開発者のためのサードパーティCookieやらトラッキングやらの問題点について三回ぐらいに分けて書きます。 この文章は個人的に書いていますので、おい、お前のところのサービスがサードパーティCookieに依存してるじゃねーかというツッコミがあるかもしれないが、そういうことを気にしているといつまで経っても公開できないという問題が出てしまうので、そんなことはお構いなしに書く。ちなみに例外なく自社サービスに対してもサードパーティCookieに依存するな死ねと言っている。これはWebプログラマー観点で、自分がサービス開発に関わる上で知っておかねばならないだろう知識として十数年間だらだらとWebを見ていて自然に知っていたものと、あるいは興味を持って率先して調べたものが含まれている。ググッて直ぐに分かる程度の用語の定義的なことは書かない。あくまでWebサイト制作者側からの観点なので、ブラウザ開発関係
知らなかったらNGなWEBアプリケーション脆弱性一覧 : mwSoft blog
先日、AmebaなうがCSRFという非常にポピュラーな脆弱性を披露したかと思ったら、ここ数日はセブンネットショッピングでXSSの脆弱性と、ID推測による他ユーザの個人情報閲覧の問題が発生しているという噂が流れています。 ユーザの情報を預かっておきながら、基本的なセキュリティの対策もできていないというのは、銀行に例えるなら、お金を預けようとした時に「お金は預かります。ちゃんと保管します。でも警備はあまりしないので盗まれたらスイマセン」と言われるようなものだと思う。 警備に穴があったというのではなく、まともに警備してませんでした、というのはさすがにありえないことです。 そこで、野良WEBプログラマである私が知っている脆弱性を列挙してみた。 私はプログラマであってセキュリティの専門家ではないです。しかも今年の春辺りからずっと外向けのWEBプログラムは組んでません。 その人間が知っているものを並べ
ログインシールとは? - Yahoo! JAPAN
フィッシングからお客様を守ります。 ログインシールを設定すれば、Yahoo! JAPANにログインするときには設定したログインシールが確認できます。 もし設定したはずのログインシールが表示されていなければ、悪意のある第三者がお客様の個人情報を盗むために作った、偽ページの可能性があります。 設定は簡単。もちろん無料です。 パソコンごとに設定が必要です。 複数の人で1台のパソコンを使用している場合、それぞれが別のYahoo! JAPAN IDでログインするときでも、ログインシールは共通のものとなります。ログインシールを設定したら、今お使いのパソコンを共用しているほかの人にも教えてあげてください。 ログインシールは今お使いのパソコンで設定しても、お客様がお使いのほかのパソコン(会社のパソコンなど)での設定は別途必要です。それぞれのパソコンごとに設定をしてください。 フィッシングとは? 「フィッシ
最強の呼び声高いブログ用対スパムプラグイン「Akismet」
WordPress用スパム対策プラグインとして開発されており、多数のWordPress利用者から「最強」との呼び声が高いのがこのプラグイン「Akismet」。日本語などの2バイト文字言語によるスパムにも対応しています。 既にWordPress2.0以降には最初から同梱されており、WordPressだけでなく、MovableTypeやPukiWiki、Nucleus、Drupal、phpBB、Blojsom、Bloxsom、Geeklog、Serendiptity、b2evolution、Expression Engine、Coppermineなどなどで利用できます。 仕組みとしてはAkismetのサーバからAPI Keyを取得し、このAPI Keyを使ってコメントやトラックバックの内容をサーバに問い合わせ、スパムかどうかを判定するという方式です。 個人利用については無料で、ブログから毎月5
初級PHPプログラマがおかしがちなミスTOP10:phpspot開発日誌
The PHP coder's top 10 mistakes and problems @ SourceRally.net PHP Community 「PHPプログラマがおかしがちなミスTOP10」、という記事があったので紹介。 PHP初心者だとこういうミスがよくありますね。ということで今年からPHPをはじめようと思っている人には気をつけてほしいリストです。 生でクエリを出力しない echo $_GET['username']; ↓ echo htmlspecialchars($_GET['username'], ENT_QUOTES); やらないとクロスサイトスクリプティングされます。 SQLクエリに$_GET,$_POST,$_REQUESTの値を直接含めない $sql = "select * from table where id=".$_GET["id"]; ↓ $sql =
高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由
水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。 これを、Webアプリという実装手法を選択する場合に特化すると、図2のような遷移図が描ける。 実線矢印はブラウザが送信するHTTPのrequest(ヘッダおよび、POSTの場合はボディを含む)を表し、黄色の丸がサーバ側での1アクセスの処理を表し、点線がその処理結果を返すHTTPのresponse(ヘッダおよび、HTML)を表す。responseの上の文はHTMLの内容を説明するものである。黄色の丸の中の文は処理内容の説明であり、ここから複数のresponse矢印が出ている場合、処理の結果によって遷移先の画面が異なる場合であることを表し、破線の白抜き四角がその分岐の条件を概説している。 この図で例に用いているのは、ECサイトやblogサービスなどに見られる典型的な「登録個人情報変更」の機能である。「メインメニュー」画面の「登録情報変更
HTTP Response Splitting | 鳩丸ぐろっさり (用語集)
用語「HTTP Response Splitting」についてHTTP Response Splitting (えいちてぃーてぃーぴーれすぽんすすぷりってぃんぐ)話題 : セキュリティ 日本語にすると「HTTP 応答分割攻撃」といったところでしょうか (IPA 的には「HTTP レスポンス分割」みたいです)。簡単に言うと、HTTP応答ヘッダに CR+LF やら Content-Length: 0 やらをインジェクションして、ひとつの HTTP 応答が二つの HTTP 応答であるように仕立てる攻撃です。 以下のような感じの応答を捏造します。 HTTP/1.1 302 Found Conetnt-Type: text/html Location: http://example.com Content-Length: 0 HTTP/1.1 200 OK Conetnt-Type: text/ht
言葉は知られていても危険性までは認識されていない「SQLインジェクション」
IPA/ISECは、不正アクセスを受けWebサーバが改ざんされた5月の事例を踏まえ、Webアプリケーションについてもセキュリティ対策が必要であると呼びかけた。 情報処理推進機構セキュリティセンター(IPA/ISEC)は6月6日、2005年5月のウイルスおよぶ不正アクセスの届出状況をまとめ、公開した(別記事参照)。 この中でIPA/ISECは、不正侵入報告10件のうち、Webサーバに侵入されてコンテンツを改ざんされた事件が7件あり、うち1件では、ユーザーがWebページを閲覧しただけでウイルスに感染する仕組みを埋め込まれていたことをに言及。この事例では、原因は不明だが「セキュリティパッチ適用や外部からのサーバアタック診断を適切に実施していたにもかかわらず、サーバへの侵入を許す結果」となった。 IPA/ISECによると、この事例のWebサイトでは、ただ情報を公開するだけの静的なコンテンツだけでな
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
x.com
三井住友銀行 > 簡単!やさしいセキュリティ教室
はてな足あと帳 :: ぼくはまちちゃん!
安全なWebアプリ開発の鉄則 2004