情報を守り、未来を創造するパイオニアとしての信頼と自信で、もっと先へ 最高峰のセキュリティサービスと、ITトータルソリューションを提供します。 もっと知る
オープンリダイレクタ経由でoauthのtokenが漏れる「Covert Redirect」に関するまとめ。
以前このブログでも取り上げたことのある神戸デジタル・ラボの近藤伸明氏がThink IT上で「SQLインジェクション大全」という連載を執筆しておられる。その第三回「SQLインジェクションの対策」を読んで以下の部分が引っかかった。 バインド機構とは、あらかじめSQL文のひな型を用意し、後から変動個所(プレースホルダ)に実際の値(バインド値)を割り当ててSQL文を生成するデータベースの機能だ。バインド値はエスケープ処理した後にプレースホルダにはめ込むので、悪意あるSQL文が挿入されても、その実行を阻止することができる(図1-2)。 http://thinkit.jp/article/847/1/ たしかにエスケープ処理を使ってバインド機構を実装する場合もある。JavaとMySQLの組み合わせでUnicodeのU+00A5を用いたSQLインジェクションの可能性 | 徳丸浩の日記から派生して、MyS
先日書いた業務用アプリに関連するんですけど、うちの会社ではサービスをリリースする前に脆弱性監査を通す必要があります。会社の仕組みとしてそのような監査チームがあることが凄く助かっています。 さて、会社の脆弱性監査の内容は守秘義務等で書くことが一切できないのですが、IPA(独立行政法人 情報処理推進機構)にて脆弱性対策についてのまとめ資料が公開されています。 情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方 ココで公開されている 「安全なウェブサイトの作り方 改訂第3版」 は全76ページからなる脆弱性対策マニュアルになっていて、どのような脆弱性に対してどうのように対処すべきかが記載されています。この第3版は行ってみれば、脆弱対策2009年度版みたいなもん。新しい攻撃手法がどんどんでてくるのでその都度対策が必要なのですが、このマニュアル本に記載されている内容で、現在の対
あなたは自分の会社のウェブサイトをサービスするApacheをインストールしたところだとしよう。Apacheはスムーズに動作しており、万が一の場合にもLinuxのセーフティネットが助けになるはずだと思う。ところが、2週間ほど経ったところで、いろいろとおかしなことが起こり始める。なぜだろう。ApacheとLinuxを使っているのに・・・おかしくなることなどあるだろうか? もちろん、注意を払わなければ、おかしくなることはいくらでもあり得る。Apacheを安全にする方法はあるが、もちろん何もしなければ安全にはならない。以下に示すのは、Apacheをより安全なウェブサーバにするための簡単な10の方法だ。 #1: とにかくアップデート LinuxでApacheを動かしているからと言って、アップデートが不要だということにはならない。常に新しいセキュリティホールやリスクが登場している。あなたは、最新のパッ
ポイント ●ディレクトリ・トラバーサルとは,「../」のような文字列を使ってWebサーバーのディレクトリ・パスをさかのぼり(横断して),公開されていないディレクトリにアクセスする手法のことである ●OSコマンド・インジェクションは,ディレクトリ・トラバーサルの手法を用いてOSコマンドがあるディレクトリにアクセスし,OSコマンドを実行する手法のことである ●どちらの手法も,Webアプリケーションの脆弱性,具体的には「入力される可能性のあるデータに対する考慮不足」を悪用する攻撃手法である 前回は,Webアプリケーションの脆弱性の大枠を確認しました。今回は「ディレクトリ・トラバーサル」と「OSコマンド・インジェクション」の詳細を学びます。いずれもWebアプリケーションの脆弱性=「入力される可能性のあるデータに対する考慮不足」を狙った攻撃手法です。 ディレクトリ・トラバーサルのカラクリ ディレクト
JNSA 2005 12 5 WG JNSA Copyright (c) 2005 NPO - 1 - ...................................................................................................................................1 1. ........................................................................................................................2 2. .......................................................................................
JNSAセキュアシステム開発ガイドライン 「Webシステム セキュリティ要求仕様(RFP)」編 β版 セキュアシステム開発ガイドラインワーキンググループ 本ドキュメントは、発注者(ユーザー)に対しては、RFP(提案依頼書)に盛り込むセキュリティ対策のサンプルとして参照していただけることを目指している。本ドキュメントの作成にあたっては、JNSAの会員企業を中心とした、システム開発とネットワークセキュリティに携わる企業の方々によりレビューされているので、このドキュメントに記載されている内容をWebアプリケーションに実装することで、現時点で必要十分と言える対策を施していると考えていただいてよいだろう。受注者(ソフトウェアベンダー)にとっては、Webアプリケーションのセキュリティに関する要件を要件定義・基本設計の段階から盛り込んでいただくことにより、セキュリティに関する要件を「機能要件」として算出
NTTデータCCS、アウトソーシング事業本部 ネットワークサービス部 シニアセキュリティスペシャリストの長谷川武氏 昨今、情報セキュリティの維持は企業において重要な課題となっている。特に2008年は多発したSQLインジェクション攻撃によりWebサイト改ざんや情報漏えいが引き起こされ、Webアプリケーションセキュリティ(WAS)の重要性を心に刻みつけた1年だった。 なぜ、Webアプリケーションの脆弱性はこうも甚大な被害を生み出すのか。WAS事業を展開している住商情報システム(以下、SCS)主催のWebアプリケーション開発者向けセミナーに登壇した、NTTデータCCS アウトソーシング事業本部 ネットワークサービス部 シニアセキュリティスペシャリストの長谷川武氏は、次のように説明する。同氏は脆弱性検査の豊富な経験を持ち、IPAで非常勤研究員としても活躍するWASの第一人者だ(なお、細かい表現は筆
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2)。 備忘のため転載いたしますが、この記事は2008年12月22日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり 今年のBlack Hat Japanには、はせがわようすけ氏が「趣味と実益の文字コード攻撃」と題して講演され話題となった。その講演資料が公開されているので、私は講演は聞き逃したが、資料は興味深く拝見した。その講演資料のP20以降には、「多対一の変換」と題して、UnicodeのU+00A5(通貨記号としての¥)が、他の文字コードに変換される際にバックスラッシュ「\」(日本語環境では通貨記号)の0x5Cに変換されることから、パストラバーサルが発生する例が紹介されている。 しかし、バックスラッシュと言えばSQL
ウェブサイトの脆弱性が悪用されたフィッシングやウェブページ改ざんなどの事件が発生しています。 ウェブサイトの脆弱性の悪用による被害を回避するためには、 ウェブアプリケーションのセキュリティ対策 ウェブアプリケーションが稼動しているウェブサーバのセキュリティ対策 ウェブサーバが設置されているネットワーク(ルータやファイアウォール)のセキュリティ対策 が必要です。どれが欠けても、ウェブサイトのセキュリティは確保できません。 組織のウェブサイト運営者、システムおよびネットワーク管理者は、これらの対策の実施状況を確認し、対策が採られていない場合には早急に対処してください。 1.ウェブアプリケーションのセキュリティ対策 (1) 公開すべきでないファイルを公開していないか? 収集した個人情報などは公開すべきではありません。そのようなファイルは、公開するファイルとは別に、非公開の場所に保管しましょう。ま
All Microsoft Global Microsoft 365 Teams Copilot Windows Surface Xbox Deals Small Business Support Software Windows Apps AI Outlook OneDrive Microsoft Teams OneNote Microsoft Edge Skype PCs & Devices Computers Shop Xbox Accessories VR & mixed reality Certified Refurbished Trade-in for cash Entertainment Xbox Game Pass Ultimate PC Game Pass Xbox games PC and Windows games Movies & TV Business Micro
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
