第1回 まずは「クッキー」を理解すべし
Webアプリケーションのぜい弱性がなかなかなくならない。メディアなどでも盛んに取り上げられているにもかかわらず,である。特に,セッション管理がからむアプリケーションのぜい弱性には,気付かないことが多い。具体的には「クロスサイト・リクエスト・フォージェリ」(CSRF),「セッション・フィクセーション」などである。これらはクロスサイト・スクリプティング,SQLインジェクションといった比較的メジャーなぜい弱性に比べて認知度が低く,対策も進んでいない。 原因の一つは,アプリケーションの開発者が原因を正しく理解していないこと。CSRFやセッション・フィクセーションについて言えば,セッション管理に使うクッキー(cookie)の動作を理解していないと対策が難しい。ところが最近の開発環境では,セッション管理の仕組みが隠ぺいされているため,必ずしもこの知識は要求されない。こうした開発者は容易にはぜい弱性に気
58. すごいリロード対策
まず、日本のサイトにある一般的な登録フォームの画面遷移は 入力画面→入力確認画面→完了画面 となっている場合が多いようです。ここでリロード問題となるのは完了画面でのDBへのINSERT処理やCSV書き出し処理、メール送信処理など「一度しか行わない処理」です。例えば完了画面へ遷移した際にブラウザのリロードボタンが押された場合、確認画面よりsubmitした情報が再度submitされて上記の一度しか行わない処理が二度行われてしまいます。そうならないよう、リロード対策はスクリプトで制御します。 まずは確認画面のスクリプト 確認画面でチケットを発行し、セッションに保存しておきます。同時に完了画面へチケットがPOSTされるよう、hiddenにセット。こうして完了画面へ遷移させます。それでは完了画面のスクリプトを見てみましょう。 このように、確認画面で発行されたチケットは一度使い切ってしまえば2度処理さ
「自分だけは大丈夫」,セキュリティ対策を妨げる「正常化の偏見」
現在では,専門誌やITニュース・サイトに限らず,一般誌/紙や通常のニュース・サイトなどでも,コンピュータ・セキュリティの重要性を解説することが増えている。それにもかかわらず,一般ユーザーの多くは,セキュリティに対して無関心のように思える。 その理由としてよく聞かれるものの一つが,コンピュータ・ウイルスなどの被害に遭ったとしても,身体に危害が及ぶことはないからということ。あるベンダーの方は,セキュリティ対策を一切施さないユーザーから,「本物のウイルスとは異なり,コンピュータ・ウイルスに感染しても寝込むことはない。何かあったらOSを再インストールすれば済むこと」と言われて,言葉に詰まったという。 筆者も,「被害に遭ったとしても致命的なことにはならない」と思っていることが,一般ユーザーの多くがセキュリティ対策に無関心であることの大きな理由の一つだと考えていた。しかし,最近ある講演を聞いて,たとえ
対策遅らせるHTMLエンコーディングの「神話」
クロスサイト・スクリプティングという言葉は元々,WebアプリケーションのHTMLエンコード漏れなどを利用することによって第三者にJavaScriptを実行させる手法を指す。広義では,HTMLのエンコードによる画面改変などを含むこともある。 前回述べたように,クロスサイト・スクリプティングのぜい弱性はWebアプリケーションに見付かるぜい弱性の半分以上を占める。数年前から指摘されているにもかかわらず,一向になくならない。その理由として,クロスサイト・スクリプティング対策あるいはHTMLエンコード注1)に対する「神話」があり,正しい対策の普及を遅らせているように思う。その「神話」の数々について説明しよう。 注1)実体参照(entity reference)というのが正式だが,あまり普及していない用語なので,HTMLエンコードという用語を用いる 「すべからくHTMLエンコードすべし」が鉄則 HTM
19. マルチバイト文字とXSS脆弱性
比較的新しい攻撃方法に、不完全なマルチバイト文字列を送信することでHTMLに 記述されているクォートを無効化する方法があります。この攻撃はHTML エス ケープのみでは防げない事に注意が必要です。では、どのように対策をすれば良 いのでしょうか? まずは、不完全なマルチバイト文字を利用してクォート(")を無効化できるこ とを確認しましょう。次のスクリプトをブラウザから実行して下さい(最後の ダブルクォテーションとPHPタグの間にスペースを入れないで下さい)。 <?php $str = urldecode('%81'); header('Content-Type: text/html; charset=SJIS'); ?> <?php echo htmlentities($str, ENT_QUOTES, 'SJIS') ?>" コードが分かりづらいので注意してください。PHPタグを2つに大別
[MySQLウォッチ]第23回 押さえておきたいバックアップとリストアのポイント
よく,データベースの運用に関する相談の中では,バックアップと可用性(アベイラビリティ)を混同してい場合がある。データベースは,ある瞬間のデータを保存することが目的である。障害が発生した際に保存したデータを再現することにより,復元をおこなう。 可用性は,障害対策として,できるだけ止めずにデータベースを運用することを目的としている。もし,止める場合にも最小限の時間で,復旧することを目的としている。 障害が発生した場合に,速やかに復旧することは,非常に重要なことである。そのため,「レプリケーションやクラスタリングを使用すれば万全」と考えるのは,間違いである。もし,レプリケーションやクラスタリング自身に障害が発生すれば,必ずバックアップデータによって,復旧する必要がある。 また,誤ったデータベース更新を実行した場合,レプリケーションやクラスタリングは,すべてのサーバーが即座に更新を実行する。そのた
IT業界のタブー「偽装請負」に手を染めてませんか:ITpro
最初に断っておくと,今回のテーマである「偽装請負」と,全国を震撼させている「耐震強度偽装」とは,ほとんど関係がない。共通点を挙げるとすれば,「違法行為だが,もしかしたらどの企業もやっているかもしれない」という疑惑が持たれている点だ。ちなみに偽装請負の詳細は,日経ソリューションビジネスの2005年12月30日号に記事を掲載している。読まれた方には,内容に重なる点もあるがご容赦願いたい。 さて,話を戻す。まず最初に,システム開発・運用現場の例をいくつか挙げる。 (1)ユーザー企業のシステム開発・運用業務で,2次請け・3次請け企業のIT技術者が常駐し,ユーザー企業のシステム担当者から直接指示を受けている (2)元請けシステム・インテグレータに,3次請け・4次請け企業のIT技術者が常駐して,元請け企業のマネジャーやSEから直接指示を受けて開発している (3)常駐している3次請け,4次請け企業のIT
PHPに“最悪”のセキュリティ・ホール,全ユーザーは今すぐ対処を:IT Pro
Hardened-PHP Projectは10月31日(現地時間),オープンソースWebアプリケーション開発言語PHPの深刻なセキュリティ・ホールを警告した。リモートからPHPスクリプトを実行される「今まで見つかった中でも最悪のセキュリティ・ホール。全てのPHPユーザは今すぐ対処を行う必要がある」(日本PHPユーザー会 大垣靖男氏)。PHP4の4.4.0以前のバージョン,PHP5の5.0.5以前のバージョンが影響を受ける。対策はパッチを適用することなど。 このセキュリティ・ホールは,ファイル・アップロードでグローバル・シンボル・テーブル$GLOBALSが書き換えられることにより,リモートからPHPのスクリプトを実行される可能性があるというもの。PHPの標準ライブラリであるPEARなどがこのセキュリティ・ホールにより攻撃される可能性がある。そのほか「影響を付けるシステムやアプリケーションは数
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Linuxコマンド逆引き大全 Index - Linuxコマンド逆引き大全:ITpro