「安全なWebサイトの作り方教えます」---IPAがドキュメントを公開
情報処理推進機構(IPA)は1月31日,安全なWebサイトを構築および運用するためのポイントをまとめた文書「安全なウェブサイトの作り方」を公開した。同文書には,SQLインジェクションなどに悪用されるセキュリティ・ホール(脆弱性)を作りこまない方法や,サイトの安全性を向上する運用ならびに設定方法などが記されている。 同文書では,IPAへの届け出件数が多かった脆弱性や,攻撃を受けた場合の影響が大きい脆弱性を取り上げ,それらを作りこまない実装方法や影響を軽減できる実装方法を具体的に紹介している。具体的には,「SQLインジェクション」「OSコマンド・インジェクション」「クロスサイト・スクリプティング」「セッション管理の不備」「ディレクトリ・トラバーサル」「メールの第三者中継」---を取り上げている。 また,「ウェブサイトの安全性向上のための取り組み」と題して,Webサイトの適切な運用方法や設定方法
HTTP 繝ャ繧ケ繝昴Φ繧ケ 繧ケ繝励Μ繝 ユ繧」繝ウ繧ー - Google 検索
繧ェ繝ェ繧ィ繝ウ繝医さ繝シ繝昴Ξ繝シ繧キ繝ァ繝ウ縺ョ莨∵・ュ諠ア繝壹繧ク縺ァ縺吶ゅ%縺ョ繝壹繧ク縺ァ縺ッ2013蟷エ縺ョ繝九Η繝シ繧ケ繝ェ繝ェ繝シ繧ケ繧呈軸霈峨@縺ヲ縺翫j縺セ縺吶 />
情報処理推進機構:情報セキュリティ:セキュアなインターネットサーバー構築に関する調査
本調査は、以下の 2つの調査項目からなる。 (1)セキュアプログラミングに関する調査 サーバーにおいて、Java言語によるアプリケーションの開発が増加している。Java 言語の開発プラットホームの1つである Java 2 Enterprise Edition (J2EE) を例として、特にインターネットサーバーのアプリケーションを開発する時に注意すべき、セキュアな設計と実装に関するノウハウをまとめる。 (2) セキュリティ強化 OS を利用したインターネットサーバー構築に関する調査 平成13年度に実施した「オペレーティングシステムのセキュリティ機能拡張の調査」の成果を踏まえ、セキュリティ強化 OS を用いた、安全性の高いインターネットサーバーを構築するにあたり、理想的な設定・運用方針について具体的なガイドラインとしてまとめる。 本ガイドラインには、商用(Trusted Solaris) と
スラッシュドット ジャパン | UTF-7エンコードされたタグ文字列によるXSS脆弱性に注意
jbeef曰く、"本家に「Cross Site Scripting Discovered in Google」というストーリが掲載された。 これは、Web Application Security Consortiumが主宰するメーリングリストに投稿された記事を伝えるもの。その記事によると、Google.comにXSS(クロスサイトスクリプティング)脆弱性が見つかり、発見者が11月15日にGoogleに連絡したところ、12月1日に修正されたという。この脆弱性の原因と対策は以下の通り。" (つづく...) "まず、Googleの404 Not Foundのページはこの例のように、リクエストされたURLのパス名を画面に表示するようになっている。ここで、そのパス名にHTMLのタグを構成する文字「<」「>」が含まれている場合、Googleは、これをきちんと「<」「>」にエスケープして出
IPA セキュア・プログラミング講座 「Webアプリケーション編」に「Web関連技術」を追加
本ページの情報は、2016年10月時点のものです。2023年10月に再構成をいたしました。 なお、内容に変更はありません。 2016年10月版 2002年2月に「Webプログラマコース」と「製品プログラマコース」、2007年の6月に「Webアプリケーション編」、9月に「C/C++編」と分けて公開してきた講座のうち、原則を中心として共通的なものをまとめて2016年10月に再編しました。 なお、資料内の参照先はすべてサイトリニューアル前のURLであるため、リダイレクトを設定しています。 セキュア・プログラミング講座(2016年10月版/2017年6月一部修正)(PDF:2.3 MB) 2007年版 「ソースコード検査技術の脆弱性検出能力向上のための研究」(注釈1)を実施した一環として取りまとめた内容を、2002年から公開していたセキュア・プログラミング講座(旧版)の改訂版(2007年版)として
PHPに複数の深刻な脆弱性、最新版へのアップグレードを
オープンソースのサーバサイドスクリプト言語「PHP」に、複数の脆弱性が発見された。中には任意のコードを実行される恐れのある深刻なものも。 オープンソースのサーバサイドスクリプト言語「PHP」に、複数の脆弱性が発見された。中には、リモートから任意のコードを実行される恐れのある深刻なものも含まれている。PHP Groupでは12月14日付けで公開した最新版へのアップグレードを推奨している。 一連の脆弱性はPHP 4.3.9以前と5.0.2以前に存在する。開発者が公開したアドバイザリによれば、phpBB2やvBulletinといったPHPで書かれたアプリケーションも同様に脆弱なため、注意が必要だ。 Secuniaがアドバイザリの中で指摘している脆弱性はのべ10種類。ほかにもいくつか、潜在的な問題が指摘されているという。 これらの脆弱性は、セキュリティ強化版のPHPである「Hardened-PHP
無料でデジタル証明書を取得する - @IT
プログラムや重要な業務メールなどは、その出所を証明するためにデジタル証明書を付加している場合が多い。メーラの多くは、証明書のツリーをルート証明書までたどり、問題のないデジタル署名がなされているかチェックしている。 ファイルやメールの出所の確実性を保証するデジタル証明書だが、個人で利用するには、取得するための費用や手間の問題で、なかなか利用に踏み切れない場合が多いだろう。デジタル証明書が必要だがコスト面で導入できない、あるいはデジタル証明書の利用テストを行いたいというなら、個人向けのデジタル証明書を無料で発行してくれる認証局を利用すればよい。 Thawte Inc.[英語] Thawte Inc.は、デジタル証明書のプロファイルに一部制限があるものの、メール(S/MIME)に無料で利用できる「Personal E-mail Certificates」を提供している。Thawte Inc.の認
Ywcafe.net
Ywcafe.net This Page Is Under Construction - Coming Soon! Why am I seeing this 'Under Construction' page? Related Searches: Accident Lawyers Anti Wrinkle Creams Free Credit Report All Inclusive Vacation Packages 10 Best Mutual Funds Trademark Free Notice Review our Privacy Policy Service Agreement Legal Notice Privacy Policy
Makoto Shiotsuki - Network Security Consultant
Windowsセキュリティ・ワンポイントレッスン 第3回 ソフトウェア制限ポリシーによるマルウェア対策 2010年7月、ソフトウェア制限ポリシーの概要、マルウェア感染対策としての有効性、具体的な設定例、使用上の注意点などに関する解説。 第2回 USBメモリ経由でのマルウェア感染を防ぐには 2009年8月、USBメモリ経由でのマルウェア感染の仕組みや、Windowsの自動実行機能(AutoRun)との関係、AutoRun停止による感染防止方法等に関する解説。 第1回 ハイバネーションの危険性 2009年4月、ハイバネーションファイルからの情報漏洩やハイバネーション・パッチによるユーザ認証回避など、Windows環境におけるハイバネーション(休止状態)の危険性および対策に関する解説(デモ映像付き)。 雑誌記事・書籍 【ネットワーク・セキュリティ最新実践講座】第6回/DNSに不正介入するファーミ
多様化するWebアプリケーションへの攻撃
第1回「機密情報に合法的に近づけるWebアプリケーションを守れ」では、「Unvalidated Input(許可されていない入力)」における「Hiddenフィールドマニピュレーション」の手法について説明した。いままでアプリケーションセキュリティに携わらなかった方にも、Webサイトが攻撃されるメカニズムが、意外に単純なものであることが理解してもらえたと思う。 前回の内容に対して、周囲からいくつか質問をもらった。「こんなこと書いていいのか?」というものである。つまり、誰もが簡単に攻撃を行えることを示すことによって、かえって被害を増加させるのではないか、という懸念を持たれたわけだ。今回の記事では、より多くの攻撃手法を説明していくため、本論に移る前にこういった質問に回答しておきたい。 私たちはすでに本連載で記しているような脅威の中にいる。それは、Webアプリケーションセキュリティに携わったことのあ
【レポート】Black Hat Japan 2005 - クロスサイトスクリプティング、どんな攻撃で、どう防ぐか | ネット | マイコミジャーナル
Black Hat Japan 2005 Briefingsで、Yahoo! のInformation Security OfficerだったJeremiah Grossman氏が、フィッシングに関する「Phishing with Super Bait」と題した講演を行った。Grossman氏は、現在WhiteHat Securityを設立、同社のCTOとして活動しているほか、Web Application Security Consortium(WASC)の設立者でもある。 Grossman氏はまず、Anti-Phishing Working Group(APWG)による今年1月の調査結果を引用し、フィッシングサイトが2,560、昨年7月から今年1月までの半年間における1カ月あたりの増加率は平均28%、今年1月にフィッシングで狙われたブランドは64、フィッシングサイトが活動していた
地域密着型情報セキュリティ勉強会セキュリティもみじ
次回の第26回セキュリティもみじはCTF for ビギナーズ2015広島と共催です。 残数わずかなので、まだ申し込まれていない方は早めの申込をお願いします。 http://2014.seccon.jp/CTF_for_Beginners_2015_hiroshima.html 日 程:2015年2月21日(土) 12:30〜18:00 (12:00 受付開始) 会 場:広島市立大学 サテライトキャンパス セミナールーム1 住 所:広島市中区大手町四丁目1番1号 大手町平和ビル9階 地 図:http://www.hiroshima-cu.ac.jp/service/content0020.html 対 象:CTF入門者 定 員:30名(最大50名) 参 加 費:無 料 主 催:SECCON実行委員会/日本ネットワークセキュリティ協会(JNSA) 共 催:セキュリティもみじ 広
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
gr.jp
小規模サイト管理者向けセキュリティ対策マニュアル
三井住友銀行 > 簡単!やさしいセキュリティ教室
higaitaisaku.com
過去の勉強会資料
PHPサイバーテロの技法 - 攻撃と防御の実際
