パスワードが漏洩しないウェブアプリの作り方 〜 ソルトつきハッシュで満足する前に考えるべきこと
■■序論 徳丸さんのスライド「いまさら聞けないパスワードの取り扱い方」に見られるように、昨今、ウェブアプリケーションの設計要件として、サーバ内に侵入された場合でもユーザーのパスワードをできるだけ保護すべきという論調が見受けられるようになってきました。 上掲のスライドでは、その手法としてソルトつきハッシュ化を勧めています。しかしながらスライドに書かれているとおり、ソルトつきハッシュには、複雑なパスワードの解読は困難になるものの、単純なパスワードを設定してしまっているユーザーのパスワードについては十分な保護を提供できないという問題があります。そして、多くのユーザーは適切なパスワード運用ができない、というのが悲しい現実です。 ソルトつきハッシュを使った手法でこのような問題が残るのは、ウェブアプリケーションサーバに侵入した攻撃者がユーザーの認証情報をダウンロードして、認証情報をオフライン攻撃するこ
SQL Injection Cheat Sheet
例; (MS):MySQLとSQL Serevr (M*S):MySQLの特定バージョンや、関連する注意事項に記載されている特定条件に関するもの、およびSQLServerを示す。 目次 SQL Injection Cheat Sheatについて 文法のリファレンス、攻撃のサンプル、狡猾なSQLインジェクション小技 1行コメント SQLインジェクション攻撃のサンプル インラインコメント 典型的なインラインコメントSQLインジェクション攻撃のサンプル MySQLバージョン検出攻撃のサンプル 複文 複文をサポートする言語とデータベースの一覧 MySQLとPHPについて 複文によるSQLインジェクション攻撃のサンプル If命令文 MySQLのIf命令文 SQL ServerのIf命令文 If命令文を利用したSQLインジェクション攻撃のサンプル 数値の利用 文字列操作 文字列連結
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
The SQL Injection Knowledge Base
