タグ

関連タグで絞り込む (12)

タグの絞り込みを解除

securityに関するw6500のブックマーク (6)

  • 色んなXSS – nootropic.me

    2015/4/16(木):ページの一番下に追記を記述しました。 その昔、なんとかキャンプというセキュリティのイベントに参加した時「アウトプットが大事」と言われたのを思い出しました。 でも、普通自分の見つけた知識は後生大事に抱えておきたいもんだと思います。 そこで今回はそういった何かしょーもないものを捨てるべく、溜め込んだ色んなXSSのPoCを少し書き出してまとめました。 今まで自分で見つけたものや海外Security Researcher達から収集したものもあります。 さて、今回リストアップしたPoCの見方ですがいくつかの項目があります。 一番上の「手法」はタイトルみたいなものだと思って下さい。 二番目の「PoC」はスクリプトを実行する為のコードです。殆どがアラートが出るだけのスクリプトの為危険なコードは無いつもりですがご自分のブラウザで実行する際は自己責任でお願いします。リンクをクリッ

    色んなXSS – nootropic.me

  • もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem's blog

    たにぐちまことさんの書かれた『よくわかるPHPの教科書(以下、「よくわかる」)』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸)」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸の4章と5章を参照します。 4.2 入力処理とセキュリティ 「よくわかる」のサンプルや解説では、入力値検証はほとんどしていません。しかし、入力値検証をしていないからといって即脆弱かというとそうではありません。徳丸でも強調しているように、入力値検証はアプリケーション要件(仕様)に沿っていることを確認するもので、セキュリティ対策が目的ではないからです。 「よくわかる」の中で、私が見た範囲で唯一の入力値検証は、郵便番号のチェックをするものです。以下に引用します(「よくわ

    もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem's blog

  • 実は厄介、ケータイWebのセッション管理

    実は厄介、ケータイWebのセッション管理:再考・ケータイWebのセキュリティ(3)(1/3 ページ) “特殊だ”と形容されることの多い日の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部) 「Cookieを使えない端末」でセッションを管理する方法は? 第2回「間違いだらけの『かんたんログイン』実装法」ですが、多くの方に読んでいただきありがとうございました。 今回は、前回に引き続き架空のSNSサイト「グダグダSNS」のケータイ対応を題材として、ケータイWebのセッション管理の問題点について説明します。携帯電話向けWebアプリケーション(ケータイWeb)のセッション管理は、かんたんログインよりも対策が難しく、厄介な問

    実は厄介、ケータイWebのセッション管理

  • ここが危ない!Web2.0のセキュリティ 記事一覧 | gihyo.jp

    運営元のロゴ Copyright © 2007-2024 All Rights Reserved by Gijutsu-Hyoron Co., Ltd. ページ内容の全部あるいは一部を無断で利用することを禁止します⁠。個別にライセンスが設定されている記事等はそのライセンスに従います。

    ここが危ない!Web2.0のセキュリティ 記事一覧 | gihyo.jp

  • 25番ポートの攻防

    先手:スパム業者の気持ち 普段、受け取りたくない気持ちでいっぱいのスパムメールであるが、1日に何万通ものメールを不特定多数に送るスパムメールの送り手の気持ちを考えてみることにしよう。1通、2通ぐらいならば何も考えずに送れるかもしれないが、数万通にもなると効率的に送らなければならない。 効率的に送るならばISPと固定IPアドレスで契約し、自前のSMTPサーバかインターネット上にある間抜けなSMTPサーバから発信するのがよさそうだ。しかし、固定IPアドレスから続けざまに大量のメールを送ると、そのIPアドレスがほかのSMTPサーバでフィルタリングされるか、ブラックリストに載って中継を止められてしまうかもしれない。 そうすると、接続ごとにIPアドレスが変わる動的IPアドレスのサービスを使う方がよさそうだ。とはいっても、契約したISPのSMTPサーバを使って大量にメールを送っていると、バウンスメール

    25番ポートの攻防

  • 5分で絶対に分かるファイアウォール

    ファイアウォールとは ファイアウォールは、「信頼できるネットワーク」と「信頼できないネットワーク」の二つのネットワーク間のアクセスを制御するために使われる、機器もしくはソフトウェアである。具体的には、社内ネットワーク(信頼できるネットワーク)とインターネット(信頼できないネットワーク)の間を出入りするパケットを監視し、決められたルールを基にパケットを通過させたり破棄したりする。このルールは、ネットワークをどのように運用したいかという、ユーザーの「ポリシー」(ルール)を反映したものだ。 ファイアウォールを導入すれば、外部の攻撃から社内ネットワークを守り、セキュリティを大幅に高めることができる。しかし、ファイアウォールだけで全ての攻撃を完全に防げるわけではない。例えば、メールなどを使ったコンピュータウイルスの侵入や、ファイアウォールをバイパスするコネクション、未知の脅威、内部的な脅威などを全て

    5分で絶対に分かるファイアウォール
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.