第3回 Webアプリの「セッション」に潜む罠
前回まで、セキュリティ対策の責任や、安全ではないWebアプリができる理由を解説してきました。今回から、Webアプリやインフラを狙う具体的な攻撃手法や対策について説明します。 今回のテーマは「セッション管理」です。セッション管理とは、クライアント(Webブラウザー)とWebサーバー間で通信するときの、状態遷移を管理する仕組みです。 Webアクセスで一般的に利用するHTTP(Hypertext Transfer Protocol)というプロトコルには、状態遷移を管理する仕組みがありません。つまり、そのままでは動的なWebアプリケーションを動作させられないのです。そこで、開発者がセッション管理の仕組みを個々のWebアプリケーションで実装する必要があります。 このセッション管理は攻撃者に狙われやすいポイントの一つです。セッション管理の設計・実装の不備に起因する脆弱性には、「セッション・ハイジャック
第6回 インフラセキュリティ~行く年来る年・2015年 | gihyo.jp
2015年もひきつづき「これまでの攻撃の洗練」が継続される~基本行動を忘れずに ところどころで大きなブレイクスルーはあるものの、防御困難な攻撃方法が何の前触れもなくバンバン使われたりするようなことはありませんでした。しかし、攻撃手法の改善や、これまでの攻撃手法をより洗練されたものにするという試みは、普通のユーザの目には見えない形で多く試みられています。特にこの数年は、Web改ざん時に仕掛けられるExploit Kitがより洗練されてきており、狙われる脆弱性もそのときの流行りに応じたものとなっています。 とは言え、洗練された攻撃に対抗する手段の1つは「当たり前の行動」です。パッチを適用したりウィルススキャナを有効にするというのは当たり前の行動ですが、それ以外でもたとえば何かおかしいと思ったら、すぐに然るべきところに問い合わせるというのも当たり前の行動にあたります。 少し難しい言葉を使うと、こ
勝手に査読:Webアプリにおける11の脆弱性の常識と対策
「Webアプリにおける11の脆弱性の常識と対策」という記事を久しぶりに読みました。出た当事も思いましたが、基本的な誤りが多く、読者が誤解しそうです。このため、編集部から頼まれたわけではありませんが、「勝手に査読」してみようと思います。 細かい点に突っ込んでいくとキリがないので、大きな問題のみ指摘したいと思います。 ※2013年2月25日追記 このエントリに対して、編集部が元記事を修正くださいました。徳丸も修正に協力いたしましたが、十分正確な内容ではないことをお含みおきください。 ※追記終わり 同記事の想定読者は誰か査読にあたり、この記事の想定読者を明確にしておいた方がよいですね。記事の冒頭には、連載の説明があります。 本連載は、JSP/サーブレット+StrutsのWebアプリケーション開発を通じて、Java言語以外(PHPやASP.NET、Ruby on Railsなど)の開発にも通用する
取り扱い注意!JavaScriptを使ってMD5ハッシュをクラック·MD5-Password-Cracker.js MOONGIFT
MD5-Password-Cracker.jsはJavaScriptを使ってMD5のハッシュ値から元テキストを検索するソフトウェアです。 パスワードをハッシュ化して保存しておくのは基本と思われますが、その際によく使われるのがMD5ではないでしょうか。SHA-1/SHA-2のが良いと思うのですが、それをまざまざと知らしめてくれるのがMD5-Password-Cracker.jsです。 パスワードクラック開始!Web Workersが8つ使われています。 パスワードはheyaでした。1ワーカーあたり1秒間に約7万の解析が行われています。4文字のパスワードに対して23秒で解析されました。 網羅的に文字列を試しているので時間は要しますが、4文字程度のパスワードであればあっという間に解析されてしまうというのが分かるかと思います。パスワードの取り扱いについてはくれぐれもご注意を。 MD5-Passwo
徳丸本に載っていないWebアプリケーションセキュリティ
2. 本日お話しする内容 • キャッシュからの情報漏洩に注意 • クリックジャッキング入門 • Ajaxセキュリティ入門 • ドリランド カード増殖祭りはこうしておこった…かも? Copyright © 2012 HASH Consulting Corp. 2 3. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当 – その後、企業向けパッケージソフトの企画・開発・事業化を担当 – 1999年から、携帯電話向けインフラ、プラットフォームの企画・開発を担当 Webアプリケーションのセキュリティ問題に直面、研究、社内展開、寄稿など を開始 –
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
