今日から使えるクラウド型 Web脆弱性診断ツール Webアプリケーションの脆弱性診断を 社内で実施しませんか? VAddyならセキュリティ専門家以外の方も 脆弱性診断ができます。 1週間無料トライアルではじめる オンライン個別相談会 実施中!
![クラウド型Web脆弱性診断ツール「VAddy」](https://cdn-ak-scissors.b.st-hatena.com/image/square/b7b02b3b92c607fd6471872afcf4a824c2194a95/height=288;version=1;width=512/https%3A%2F%2Fvaddy.net%2Fja%2F_assets%2Fimg%2Fogimage.png)
先日もtwitter上の犯行予告により20歳の青年が逮捕されたようですが、なりすましによる誤認逮捕ではなかったのか気になるところです。そこで、twitterが、なりすまし投稿をどの程度対策しているかを調べてみることにしました。twitterの安全性を確認することが目的というよりも、twitterが実施している対策を知ることにより、皆様のWebサイトを安全にする参考にしていただければと思います。 今回調べた「なりすまし投稿」の手法は下記の通りです。 クロスサイト・リクエスト・フォージェリ(CSRF) クロスサイトスクリプティング(XSS) HTTPヘッダーインジェクション クリックジャッキング DNSリバインディング クッキーモンスターバグ このうち、上の5つの解説は拙稿「“誤認逮捕”を防ぐWebセキュリティ強化術」、最後のクッキーモンスターバグについては、過去のエントリ「クッキーモンスター
私の会社/部署はいちおうセキュリティに強いことを売りにしているらしく、最近作ってる Web アプリケーションでは某セキュリティ会社による診断(ペネトレーションテスト)を受けることが増えています。 今作ってる Web プリケーションも診断を受けたのですが、今回指摘されたのは「HTTP リクエストを Host: ヘッダなしで送ると Location: に内部 IP アドレスが表示されている」というもの。 この検証を軽くやっておくかー、と思ったら結構いろいろやってしまったのでメモしておきます。ちょっとした HTTP リクエスト改ざんツール比較みたいになってますが、他にもいいやり方があったら教えてくださいませ。 ツールの選定基準について 「ローカルプロキシを立ちあげてブラウザのプロキシ設定を立ちあげて〜」というツールは、使い方を説明するのが面倒なのであまり使いたくありません。ブラウザのプラグインと
本ページの情報は、2016年10月時点のものです。2023年10月に再構成をいたしました。 なお、内容に変更はありません。 2016年10月版 2002年2月に「Webプログラマコース」と「製品プログラマコース」、2007年の6月に「Webアプリケーション編」、9月に「C/C++編」と分けて公開してきた講座のうち、原則を中心として共通的なものをまとめて2016年10月に再編しました。 なお、資料内の参照先はすべてサイトリニューアル前のURLであるため、リダイレクトを設定しています。 セキュア・プログラミング講座(2016年10月版/2017年6月一部修正)(PDF:2.3 MB) 2007年版 「ソースコード検査技術の脆弱性検出能力向上のための研究」(注釈1)を実施した一環として取りまとめた内容を、2002年から公開していたセキュア・プログラミング講座(旧版)の改訂版(2007年版)として
寺田さんのブログエントリ「他人のCookieを操作する」には、通信路上の攻撃者がいる場合は、SSLを使っても、Cookieの盗聴を防ぐことはできるが、Cookieの改変を防ぐことはできないと指摘されています。いかにも寺田さんらしい簡にして要を得たエントリで、これに付け加えることはあまりないのですが、残念ながらまだ読んでいない人が多そうだと言うことと、より広い読者に向けて具体的に説明した方がよいだろうと考えました。 そこで、通信路上に攻撃者がいる典型例として、公衆無線LANの偽AP(アクセスポイント)があるケースを題材として、「HTTPSを使ってもCookieの改変は防げない」ことを説明します(Secure属性使うと盗聴は防げますが、改変は防げません)。長いエントリなので結論を先に書いておきます。 Secure属性がないCookieはHTTPSでも盗聴できる Cookieの改変についてはSe
最近のモダンなWebブラウザがサポートしている、セキュリティに関連しそうな X- なHTTPレスポンスヘッダをまとめてみました。それ以外にもあったら教えてください。 X-XSS-Protection 0:XSSフィルタを無効にする。 1:XSSフィルタを有効にする。 XSSフィルタを有効にすることでエンドユーザがXSSの被害にあう可能性が低減するが、まれに誤検知することで画面の表示が乱れることもある。IE8+、Safari、Chrome(多分) で有効。IEでは「X-XSS-Protection: 1; mode=block」という指定も可能。 2008/7/2 - IE8 Security Part IV: The XSS FilterBug 27312 – [XSSAuditor] Add support for header X-XSS-Protection X-Content-Ty
[1]http://d.hatena.ne.jp/ockeghem/20110907/p1[2]http://www.atmarkit.co.jp/fcoding/articles/webapp/05/webapp05a.html[3] http://msdn.microsoft.com/ja-jp/asp.net/ff713315[4] http://labs.cybozu.co.jp/blog/kazuho/archives/2007/01/cross-site_including.phpあたりをよんで、JSON とセキュリティについてかんがえてみた。 ここで、有効とされている対策のうち while(1); を先頭に付与するPOST ですべて処理するといったあたりは、RESTful でないし、BK 感がひどいというか本質的ではないのでできるだけやりたくない。 また、Amon2 では互換
「個人情報漏えいは論理的にあり得ない」セールスフォース宇陀社長 セールスフォース・ドットコムへの公開質問状(クラウド編、2回目/全2回) 月刊ビジネス誌『日経情報ストラテジー』と東京コンサルティングが共同で事務局を務める「オールジャパン競争力強化実行委員会」は、情報システムユーザー企業のCIO(最高情報責任者)が、情報システム提供企業に対して抱く疑問を「CIO公開質問状」として質問した。クラウドサービスを提供するIT(情報技術)ベンダー主要8社が公開質問状に回答した。本記事では、セールスフォース・ドットコム宇陀栄次・代表取締役社長が、「クラウド」に関する疑問に回答する。 (前回に戻る) 質問3:情報保護・保証の考え方 Q:顧客企業のデータの保護・セキュリティーをどのように確保しているか。万が一の事故の場合の保証についてどう考えているか。 A:保証を求めるお客様とはSLA(サービス・レベル・
[無視できない]IEのContent-Type無視:教科書に載らないWebアプリケーションセキュリティ(2)(1/2 ページ) XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 無視できないIEの「Content-Type無視」問題 皆さんこんにちは、はせがわようすけです。 第2回では、Internet Explorer(以下、IE)の仕様でも特に悪名高い「Content-Type無視」について説明します。 IEのContent-Type無視問題は非常に複雑で、私自身も完全に説明できる自信はないのですが、それでもセキュアなWebアプリケーションを開発するうえで避けては通れない問題ですので、取り上げることにしました。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く