情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
まちがった自動ログイン処理
(Last Updated On: 2018年8月20日)問題:まちがった自動ログイン処理の解答です。このブログエントリは最近作られたアプリケーションでは「問題」にしたような実装は行われていないはず、と期待していたのですがあっさり期待を破られたのでブログに書きました。このブログの方が詳しく書いていますけが「Webアプリセキュリティ対策入門」にも正しい自動ログイン処理を書いています。 参考:自動ログイン以外に2要素認証も重要です。「今すぐできる、Webサイトへの2要素認証導入」こちらもどうぞ。HMACを利用した安全なAPIキーの送受信も参考にどうぞ。 間違った自動ログイン処理の問題点 まず間違った自動ログイン処理を実装しているコードの基本的な問題点を一つ一つ順番にリストアップします。 クッキーにランダム文字列以外の値を設定している クッキーにユーザ名が保存されている クッキーにパスワードが保
多様化するWebアプリケーションへの攻撃
第1回「機密情報に合法的に近づけるWebアプリケーションを守れ」では、「Unvalidated Input(許可されていない入力)」における「Hiddenフィールドマニピュレーション」の手法について説明した。いままでアプリケーションセキュリティに携わらなかった方にも、Webサイトが攻撃されるメカニズムが、意外に単純なものであることが理解してもらえたと思う。 前回の内容に対して、周囲からいくつか質問をもらった。「こんなこと書いていいのか?」というものである。つまり、誰もが簡単に攻撃を行えることを示すことによって、かえって被害を増加させるのではないか、という懸念を持たれたわけだ。今回の記事では、より多くの攻撃手法を説明していくため、本論に移る前にこういった質問に回答しておきたい。 私たちはすでに本連載で記しているような脅威の中にいる。それは、Webアプリケーションセキュリティに携わったことのあ
不機嫌な日本全国コストセンター化(その1) - michikaifu’s diary
日経ビジネスに連載している、糸井重里さんの話が面白い! http://business.nikkeibp.co.jp/article/life/20071023/138300/ http://business.nikkeibp.co.jp/article/life/20071031/139184/ やたらなんでも管理することが正義になって、誰もリスクをとらなくなってしまっている、というお話。確かにそうだなぁー、と思う。シリコンバレーではSOX法のせいでベンチャーがIPOできなくなっているとか、子供の遊び場でもスポーツの試合でも、訴訟リスクが怖くてなんでもかんでも事前に「訴訟しません」という書類にサインさせられるとか、当地でも似たようなことは多い。 でも、この「不機嫌」な閉塞感は、日本のほうが強いような気がする。なんでかな、と考えると、英語でいう「upward potential」(上昇する
ITmedia エンタープライズ:IT Minute:好むと好まざるとにかかわらず職場環境をWeb2.0化すべき時代
Enterprise 2.0 Conferenceの基調講演では、WikiやマッシュアップなどのWebベーステクノロジーを業務環境に持ち込まざるを得ない時代がやがて到来するはずであり、ITマネジャーは今から準備をしておく必要があるということであった。 ボストンで先日開催されたEnterprise 2.0 Conferenceの基調講演で語られていたのは、現在普及が進みつつあるWikiやマッシュアップなどのWebベーステクノロジーを業務環境に持ち込まざるを得ない時代がやがて到来するはずであり、ITマネジャーは今から準備をしておく必要があるということであった。つまり新世代の従業員にとってはこうしたツールを自宅で使うことが当たり前になっているので、勤務時間内であってもこれらのサービスにアクセスできて当然と主張してくるようになる、というのである。 SAP のジェネラルマネジャーを務めるデニス・モー
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
