[B! security][HTTP] TAKESAKOのブックマーク

事例は重要だが、その内容の公開レベルを考えることはもっと重要 - wakatonoの戯れメモ

あー…1つやらなきゃいけないことが…orz ライトニングトーク自体久々。やったのは、Webtunnelの紹介と危険性、そして対応。プレゼンテーション資料はこちら。オレは別に、管理が好きなわけでもなければ、品質マニアでもない。でも、ISMS(ISO27001）、PMS（JIS Q 15001）、QMS（ISO9001）に共通する特徴である「マネジメントシステム」の構築と運用管理には興味があるし、部分的にではあるけど（出来る範囲で）実践してるつもりｗ JISQ15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン　第1版の6ページ「1. 個人情報保護マネジメントシステムについて」の記述に、以下のような記述がある（わかりやすいように、一部箇条書きにした）方針を作成し、それに基づいて計画を作成し(Plan)、実施し(Do)、点検し(Check)、

TAKESAKO 2009/03/01

CGIで動かすHTTPトンネルWebtunnelのおーざっぱな特徴

リンク

BASIC 認証でログアウトを可能にする方法 - kazuhoのメモ置き場

Cookie でログイン状態を管理すればいいんじゃいのかな。まず、ログインボタンを押した時「だけ」is_logged_on を真にする。 HTTP/1.1 Authorization Required Set-Cookie: is_logged_on=1 WWW-Authenticate: Basic realm="Hoge123456" ...サーバ側では、Basic 認証のパスワードがあり、かつ、is_logged_on の値が真であることをチェックすればいい。 GET / HTTP/1.1 Cookie: is_logged_on=1 Authorization: Basic ... ... HTTP/1.1 200 OK ...で、ログアウトの際には、Cookie を消す。 HTTP/1.1 200 OK Set-Cookie: is_logged_on=0 ...そして、is_

TAKESAKO 2008/07/11

【is_logged_on=0 の場合には、Authorization ヘッダがなかろうが、パスワードが間違っていようが、401 を返さ「ない」。】

リンク

kmuto’s blog

この投稿をInstagramで見るこの投稿をInstagramで見るこの投稿をInstagramで見るこの投稿をInstagramで見るこの投稿をInstagramで見るこの投稿をInstagramで見るこの投稿をInstagramで見る

TAKESAKO 2008/06/18

apt-get install squid dansguardian

リンク

第1回　まずは「クッキー」を理解すべし

Webアプリケーションのぜい弱性がなかなかなくならない。メディアなどでも盛んに取り上げられているにもかかわらず，である。特に，セッション管理がからむアプリケーションのぜい弱性には，気付かないことが多い。具体的には「クロスサイト・リクエスト・フォージェリ」（CSRF），「セッション・フィクセーション」などである。これらはクロスサイト・スクリプティング，SQLインジェクションといった比較的メジャーなぜい弱性に比べて認知度が低く，対策も進んでいない。原因の一つは，アプリケーションの開発者が原因を正しく理解していないこと。CSRFやセッション・フィクセーションについて言えば，セッション管理に使うクッキー（cookie）の動作を理解していないと対策が難しい。ところが最近の開発環境では，セッション管理の仕組みが隠ぺいされているため，必ずしもこの知識は要求されない。こうした開発者は容易にはぜい弱性に気

TAKESAKO 2008/03/04

タイトルしか読んでないけどとりあえずブクマ

リンク

リクエストをいじれば脆弱性の仕組みが見えるのだ！

telnetでリクエストを打つのは面倒…… クウ　「うーん。めんどくさい……」ジュンさんにWebアプリエンジニアとして重要な基礎、HTTPのしくみを教えてもらったクウは、引き続きHTTPと格闘中だ。クウはジュンさんに教わったとおりtelnetを使ってHTTPを勉強していた。しかし、telnetで静的ファイルの閲覧などは比較的簡単にできるのだが、肝心のWebアプリケーションの閲覧を行うには非常に面倒であった。ユウヤ　「どうしたの？」クウ　「HTTPの勉強しようと思ったんだけど、コマンドをいちいち打ち込むの大変なんだよね……」ユウヤ　「なんかそういうの、簡単にできるツールあるんじゃないの？」クウ　「ああ、そうか。よく考えたらそういうのありそうだね。ちょっと探してみよっと」ユウヤ　「まあ、それはいいとしてだ。昨日頼んでおいた資料ってどうなった？」クウ　「ああっ。ごめん！共有サー

TAKESAKO 2007/10/27

リンク

もいちどイチから！ HTTP基礎訓練中第1回 XSSは知ってても、それだけじゃ困ります？ ― ＠IT

分かってるつもりではあるけれど…… クウはベンチャー企業で働くWebアプリケーションのエンジニア。でもそこは小さなベンチャー企業、セキュリティのことは分かっていながらも、動くものを納品するので精いっぱい……。今日は納品のため、客先でミーティングに参加していた。そしてお客様から受けた指摘は、こんな一言だった。お客さん　「……で、このWebアプリケーション、セキュリティは大丈夫なんだよね？」クウ　「は、はいっ！もちろんです！」お客さん　「じゃあ、これからもよろしく頼むよ」クウ、ユウヤ　「よろしくお願いしますっ！」無事、お客さんとのミーティングを終えたクウとユウヤの2人は、近くの喫茶店で一息いれることにした。クウ　「最近はセキュリティのことを聞かれることがかなり増えてきましたねぇ」ユウヤ　「ああ、そうだね。営業の段階から『セキュリティはどう担保されているんだ？』なーんてことをいわ