教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 小さな話題が面白い 皆さん、はじめまして。はせがわようすけと申します。 「教科書に載らないWebアプリケーションセキュリティ」ということで、Webアプリケーションのセキュリティに関連する、普段あまり見掛けないような小さな話題を取り上げていきたいと思います。 セキュアなWebアプリケーションを実現するために、開発者の方だけでなく、Webアプリケーションの脆弱性検査を行う方々にも読んでいただきたいと思っています。重箱の隅を楊枝でほじくるような小さな話題ばかりですが、皆さんよろしくお願いします。 さて第1回は、Internet ExplorerがHTMLを解釈する際の引用
![教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT](https://cdn-ak-scissors.b.st-hatena.com/image/square/82de8989bb7acc1ec9333bef18042c097988bca5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F0902%2F27%2Fwebapp0101.jpg)
SQLインジェクション攻撃の波はまだ終わっていない - @IT
2008/03/27 セキュリティ企業のラックは3月27日、3月中旬に発生したSQLインジェクション攻撃の詳細について説明した。一連の攻撃は、同社が注意喚起を行った3月13日前後だけでなく、2007年の11月や12月、そして3月21日以降も発生しており、けっして一過性のものではないという。 この攻撃は、Webアプリケーションの脆弱性を突いてSQLインジェクション攻撃を仕掛け、Webサイトに不正なスクリプトを埋め込もうとする。しかし最終的な目的はWebサーバではなく、そこにアクセスしてくるユーザーの端末だ。もし、脆弱性が残っているPCで、書き換えられてスクリプトが仕込まれたWebページにアクセスすると、ユーザーがそれと意識しないうちにマルウェアがダウンロードされてしまう。 SQLインジェクション攻撃という手法は目新しいものではない。しかし、攻撃用ツールの進化と流通を背景に、攻撃件数は徐々に増
Rollerと始めるOpenSolaris
この連載では、サーバOSとして十数年発展してきた「Solaris」をオープンソース化した「OpenSolaris」を紹介し、ブログサーバ「Roller」と組み合わせて運用していくうえで有用なさまざまな知識を紹介していきます。(編集部) この連載では、ブログサーバの導入と運用というテーマを軸に、OpenSolarisの紹介に始まり、実際に運用していくうえで有用なさまざまな知識を紹介していきます。第1回は、OpenSolarisとブログサーバ「Apache Roller」について紹介しましょう。 OpenSolarisとは何か まず、「そもそもOpenSolarisとは何か」というところから始めましょう。すでにご存じの方も多いと思いますが、OpenSolarisとは名前のとおり、Solarisをオープンソース化するプロジェクトの総称です。ソースコードを公開し、幅広くコミュニティの力を得ることで
最も安全な組み合わせはLinux+Opera、フォーティネット推奨 − @IT
2008/01/10 フォーティネットジャパンは1月10日、2008年のコンピュータウイルスの被害予測を発表した。2007年に続いてWebサイトを悪用した感染に注意が必要と説明。「まずまず機能的なソリューションの中でも最も安全な組み合わせ」としてLinuxとWebブラウザのOperaを挙げて、「標的になりにくそうなOSおよびWebブラウザを使いましょう」と呼びかけた。 フォーティネットによると、最も危険な組み合わせはWindowsとInternet Explorer。ユーザー数が格段に多いため、ターゲットになりやすい。フォーティネットはほかに安全性を高める方法として、最新のWebブラウザを使うことやJavaScriptの有効化をWebサイトごとに行うことなどを挙げている。 トレンドマイクロの説明「2008年は増加?ウイルス感染報告数に『1年おきの法則』」でもウイルス感染手法の主流はWebサ
まつもと×笹田、Ruby 1.9を語る ― @IT
2007/12/25 「そういえばあのretryの話、どう思う?」、「誰も使ってないから害悪が多いっていう話は説得力ありますよね」、「じゃあなくすか……、うん、なくしといて」、「あ、決まっちゃった(笑)」――。 まつもとゆきひろと、笹田耕一。いま、世界が注目するプログラミング言語「Ruby」の生みの親と、開発コアメンバーの2人は、こともなげにRubyの仕様を記者の目の前で変更してしまった。Rubyの開発はどのように行われ、どこへ向かおうとしているのか。現行のバージョン1.8系から大きく様変わりする次期開発版「Ruby 1.9」のリリースを12月25日に控えた2人に、師走の秋葉原で話を聞いた(文中、敬称略)。 Rubyの仕様は密室で決まる!? 冒頭に紹介した2人の会話は、「retry」というRubyの文法の2種類ある使い方のうち、これまでほとんど使われた形跡がない方を文法仕様から取り除くかど
ブログ、2chも対象にする「情報通信法」(仮)とは ― @IT
2007/06/20 総務省の「通信・放送の総合的な法体系に関する研究会」は6月19日、通信、放送に関する規制を見直して競争を促進することを主旨とする中間報告(PDF)を発表した。ネットへの対応に遅れが目立つ現行の放送法、電気通信事業法などの規制を転換し、新たに策定する「情報通信法」(仮称)に一本化することを提言。テレビ局などの放送コンテンツだけでなく、ネットの掲示板やブログも対象にすることを盛り込んでいる。 情報通信法は現在9つある通信と放送関連の法律を一本化し、通信、放送業界の垣根を低くすることを目指す。通信、放送事業者はこれまで進出できなかった分野にも進出可能になり、競争が促進されるとしている。放送、通信のコンテンツに対する規制も刷新し、ネットのコンテンツも同じように規制をかける。 コンテンツを3つに分類 具体的には社会的な影響に応じてコンテンツを「特別メディアサービス」「一般メディ
Webアプリケーションを作る前に知るべき10の脆弱性 ― @IT
Webアプリケーションが攻撃者に付け込まれる脆弱性の多くは、設計者や開発者のレベルで排除することができます。実装に忙しい方も、最近よく狙われる脆弱性のトップ10を知ることで手っ取り早く概要を知り、開発の際にその存在を意識してセキュアなWebアプリケーションにしていただければ幸いです。 Webの世界を脅かす脆弱性を順位付け OWASP(Open Web Application Security Project)は、主にWebアプリケーションのセキュリティ向上を目的としたコミュニティで、そこでの調査や開発の成果物を誰でも利用できるように公開しています。 その中の「OWASP Top Ten Project」というプロジェクトでは、年に1回Webアプリケーションの脆弱性トップ10を掲載しています。2004年版は日本語を含む各国語版が提供されていますが、2007年版は現在のところ英語版のみが提供さ
ITエンジニアを襲う「新しいうつ」の正体とは? ― @IT自分戦略研究所
ITエンジニアを襲う「新しいうつ」の正体とは?:ITエンジニアを襲う「新しいうつ」の正体とは?(1/2 ページ) 「現在、ITエンジニアを取り巻く健康上の危機」について衝撃的な話を聞いた。ITエンジニアの間に、新しい種類の心の不調が増えているというのだ。その正体は? 予防法はあるのか。 長時間にわたる勤務や厳しい労働環境、ディスプレイに向かっての長時間作業など、健康上の危機にさらされることの多いITエンジニア。@IT自分戦略研究所が2006年7月に行ったアンケートでも、8割以上のITエンジニアが自分と周囲の不健康を意識しているという結果が出ている。こういった健康上の危機は、いうまでもなくITエンジニアの心と体の両面に影響を及ぼす。 「ITエンジニアにおけるうつの発生率は、一般企業の会社員の2~3倍に上る。しかもITエンジニアのうつには、普通の抗うつ剤が効きにくい」。そんなショッキングな警告
暗号化仮想ドライブで手軽にファイルを暗号化 ― @IT
重要な情報の入ったノートPCや、USBメモリなど、持ち運びが簡単なものは紛失や盗難の可能性も高い。万が一、誰かの手に渡ってしまったときを想定し、その情報を利用されてしまうことを防ぐ効果的な手段がある。それは、情報を暗号化して保存しておくことだ。 ファイルなどを暗号化するには、いくつかの方法や、それを実現するソフトウェアがある。ここでは、重要な情報の保存や、持ち運びの際に便利な「暗号化仮想ドライブ」について紹介する。 暗号化仮想ドライブを使おう 「仮想ドライブ」は、物理的なディスクドライブに対して、ソフトウェアで実現した仮想的なディスクドライブという意味である。CD-ROMのISOイメージなどをマウントして、あたかも実際にドライブがあるかのように利用することができるものだ。暗号化仮想ドライブは、その名が表すとおり、暗号化された仮想ドライブである。 暗号化仮想ドライブは、以下の特徴を備えている
これだけは知っておきたいアルゴリズム〜ハッシュ関数・公開鍵暗号・デジタル署名編 ― @IT
これだけは知っておきたいアルゴリズム ~ハッシュ関数・公開鍵暗号・デジタル署名編:デファクトスタンダード暗号技術の大移行(4)(1/3 ページ) 前回の共通鍵暗号の紹介に引き続き、安全性・処理性能ともに優れていると国際的に認められ、米国政府標準暗号、欧州のNESSIEや日本のCRYPTREC(Cryptography Research & Evaluation Committees)での推奨暗号、ISO/IEC国際標準暗号、インターネット標準暗号などで共通して選定されているハッシュ関数・公開鍵暗号・デジタル署名について紹介する。 共通鍵暗号ではアルゴリズムそのものを代替わりさせることによって、より安全でより高速なものへと移行することが可能である。これに対して、ハッシュ関数、公開鍵暗号、デジタル署名ともに、アルゴリズムそのものを代替わりさせるというよりも、基本的にはほぼ同じ構成のままハッシュ
3カ年計画「PLAN-J」は成功している~MSヒューストン社長 - @IT
2006/7/14 マイクロソフトは7月13日、報道関係者向けに新年度経営方針説明会を実施し、同社 代表執行役社長 ダレン・ヒューストン(Darren Huston)氏が、2005年を振り返るとともに今後の経営方針を語った。 ヒューストン氏はまず、日本におけるマイクロソフトの立場を説明。日本は米国に次ぐ第2の市場で、同社売り上げの約10%を占めるとした。そして、パートナーとの関係の重要について「ビル・ゲイツ会長は20年以上前から日本で活動していたが、日本法人を設立してから今年が20周年に当たる。当社にはビジネスパートナーの存在が欠かせないが、現在、6000のパートナー企業が存在し、そのうち1000社がマイクロソフト認定パートナーで、300社がゴールドパートナーとなっている」と語った。 また、ビジネス分野における成長も強調した。同社は従来よりコンシューマ向け分野の売上比率が高かったが、現在で
CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」とは ― @IT
あるWebページにアクセスしたら、自分のYahoo! JAPAN IDやHatenaのID、mixiで使っている名前などが表示された。何の縁もゆかりもないページにこれらのプライベートな情報がなぜ表示されてしまったのだろうか。 これは「CSSクロスドメインの情報の漏えいの脆弱性(CVE-2005-4089)」という、Webブラウザがスタイルシート(CSS)を呼び出す機能にある脆弱性を利用した攻撃だったのだ。この脆弱性は通称「CSSXSS(CSS Cross Site Scripting)」とも呼ばれている。 CSSインポート時にCSS以外のファイルがテキストとして読み込める 最近のWebページは、文書の構造をHTML形式で記し、フォントや色やレイアウトなどの視覚的な表現をスタイルシートで記述するというHTMLの仕様に従っていることが多い。 HTMLファイルから外部のスタイルシートを呼び出すた
@IT:X Window Systemのキー配列をDvorakに変更するには
【 pidof 】コマンド――コマンド名からプロセスIDを探す (2017/7/27) 本連載は、Linuxのコマンドについて、基本書式からオプション、具体的な実行例までを紹介していきます。今回は、コマンド名からプロセスIDを探す「pidof」コマンドです。 Linuxの「ジョブコントロール」をマスターしよう (2017/7/21) 今回は、コマンドライン環境でのジョブコントロールを試してみましょう。X環境を持たないサーバ管理やリモート接続時に役立つ操作です 【 pidstat 】コマンド――プロセスのリソース使用量を表示する (2017/7/21) 本連載は、Linuxのコマンドについて、基本書式からオプション、具体的な実行例までを紹介していきます。今回は、プロセスごとのCPUの使用率やI/Oデバイスの使用状況を表示する「pidstat」コマンドです。 【 iostat 】コマンド――I
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ホームディレクトリのフォルダ名を日本語から英語に変更するには - @IT