WEBプログラマー必見!WEB脆弱性基礎知識最速マスター - 燈明日記
以下は、WEBプログラマー用のWEB脆弱性の基礎知識の一覧です。 WEBプログラマーの人はこれを読めばWEB脆弱性の基礎をマスターしてWEBプログラムを書くことができるようになっているかもです。 また、WEB脆弱性の簡易リファレンスとしても少し利用できるかもしれません。 WEBアプリケーションを開発するには、開発要件書やプログラム仕様書通りに開発すれば良いというわけにはいきません。 そう、WEB脆弱性を狙う悪意のユーザにも対処しないといけないのです。 今回、WEBアプリケーションを開発にあたってのWEB脆弱性を、以下の一覧にまとめてみました。 このまとめがWEBアプリケーション開発の参考になれば幸いです。 インジェクション クロスサイト・スクリプティング セッション・ハイジャック アクセス制御や認可制御の欠落 ディレクトリ・トラバーサル(Directory Traversal) CSRF(
無線LANのセキュリティに係わる脆弱性の報告に関する解説 (概要)
RCIS Technical Notices 2009-01 (A) 2009年8月26日 (初版) 2009年8月27日 (第1.1版) 産業技術総合研究所 情報セキュリティ研究センター 無線LANで使われるセキュリティプロトコルのうち,WPA (TKIP) 及びWPA2 (TKIP) に対しては,諸文献で指摘されている理論的な攻撃が成立する可能性があります. 一方,WPA (AES) 及びWPA2 (AES) は設計上,少なくとも現時点で論文等で報告されている攻撃に対しては安全であることも確認しました. 1. 概要 以前より,無線LANのセキュリティ対策について,脆弱性が指摘されているWEPの代替手段としてWPA及びWPA2への移行が推奨されてきました.ところが,最近,WPA及びWPA2に対する攻撃についての発表が学会等でなされ,この件について複数の矛盾した報道もなされるなど,一部にお
IBMトラップの顛末 - strmの日記
今の自分は、出会った人や読んできた本によって、できあがっている あの小冊子は、新聞の付録だったのか、記憶が曖昧で定かではないのだが、1ヶ月に1回程度の頻度で届いていた気がする。オールカラーで内容もさまざまだった気がする。その中には、プロ野球の選手名鑑もあって、私は、母から受け取り、大切にしていた記憶がある。母は、…
特定のサブディレクトリに別のBASIC認証をかける - Do You PHP はてブロ
BASIC認証のかかっているディレクトリがあり、そのサブディレクトリに別のBASIC認証をかけたい場合があったのでメモ。 たとえば、http://example.com/hoge/ にすでにBASIC認証がかけられているが、http://example.com/hoge/fuga/ に別のBASIC認証「だけ」をかけたい、といった場合です。 簡単に考えると、ディレクティブやディレクティブを2つ並べればうまくいきそうなもんですが、両方の認証がかかってしまいます。 そこで、ディレクティブとディレクティブの両方を使うと期待通りに動作しました。具体的な設定例は次の通り。 <Location ~ "^/hoge/fuga"> AuthType Basic AuthUserFile /path/to/.htpasswd.fuga AuthName "Enter password for fuga" R
セキュリティ過敏症 - ぼくはまちちゃん!(Hatena)
初心者はPHPで脆弱なウェブアプリをどんどん量産すべし ↑のブックマーク うん。増田くんはいつもいいこと書くね! ブックマークの方には 危険だとか迷惑だとか踏み台だとか色々かいてあるけれど(というか踏み台ってなんだろ?) そんなに大切な個人情報をたくさん扱ってるサイトなんてどれだけあるかな。 みんなそういうサービスつくってるの? なんかすごいね。 ぼくの使っている範囲だと、(提供側が気をつけていないと) 本当にまずいのは銀行と証券とカード会社のような、お金のからむサービスくらいだよ。 もちろん、他にメール内容だとか、購読しているフィードだとか、知られたくない個人情報なんてのは、人によってたくさんあるよね。 だけど、例えばぼくがメールサービス作りましたなんて言ったら誰か使う? それか無名の団体だったらどうかな。それで大切なメールやりとりしちゃうの? そう。そもそも、利用者もそれほどバカじゃな
初心者はPHPで脆弱なウェブアプリをどんどん量産すべし
http://www.rubyist.net/~matz/20080126.html#p04 趣味でやってるプログラミング初心者の立場で言わせてもらう。だいたいな、あんたらプロのプログラマが小難しい顔してセキュリティセキュリティ言うもんだから初心者プログラマのセキュリティ意識がまったく向上しないばかりか、よけいに低下するんだよ。ごちゃごちゃ言われたり叩かれるのはイヤだけど、眼前の問題はプログラムで解決したいってヤツは耳塞いで黙ってPHPでやりたいようにやるんだよ。何が「楽しいRuby」だよ。「Webアプリケーションをなめるな」ってその時点でもう全然楽しくねーだろが。 それでこれだよ。 http://d.hatena.ne.jp/essa/20080130/p1 もう萎縮萎縮!初心者超萎縮ですよ。「あーセンコーうぜー。隠れてタバコ吸おう」って高校生の心境だよ。難しい顔して訳知り顔でかっこつけ
高木浩光@自宅の日記 - 非接触型電子マネーは消費者にとって安全なのか
■ 非接触型電子マネーは消費者にとって安全なのか 最近、電子マネーの安全性にについて取り沙汰されているようだ。電子マネーの安全性というと、サービス事業者(発行者)ないし加盟店に損金が出るリスクと、消費者(利用者)に損金が出るリスクを分けて考えるべきだろう。 発行者の損金については、正直、外野がとやかく騒ぐことでもないという面がある。発行者は当然ながらそうしたリスクを詳細に検討した上で事業を展開しているはずであり、一定程度までの被害は必要コストとして計算されているはずだ*1。それに対し、消費者に損金が出るリスクが存在する場合にはそうはいかない。その事実が消費者に知らされるべきであり、回避策があるなら周知されるべきであろう。 さて、何か月か前にラジオライフ誌から取材したいとの申し入れが自宅日記のメールアドレスにあった。Suicaなどでスキミング被害が出ないのはなぜなのか技術的に解説して欲しいと
キャズムを超えろ! - 団塊~シニア層向けのWeb設計 やっちゃいけない10のUI
一時期パソコン教室の講師をやっていたことによる経験と、昨今Webサービス運用にあたって中高年層からのクレームなどを自分なりにまとめた結果として、50代以上のユーザに対するWebサービス&PCアプリケーションのUI設計における以下10のTIPSを公開してみたいと思う。...といってもたかだか10個で収まる簡単な話ではないので、思いついたら都度追加して行きたい。 ID,ニックネームを考えさせてはいけない。半角英字開始限定は論外 IDやニックネームが思いつかない方が多い。これはシニアに限らず、ITリテラシーがそれほど高くない若年層についても言えること。作る側の人間も「過去にWebで使ったID,Nicknameは全て使っちゃダメ。何か新しいのを考えて入れてみて。」と言われると結構悩んじゃうもの。それと同じ状態に陥ると思っていただけるとわかりやすい。「IDのかわりに電話番号でもいいですよ」というと結
マカフィー、スパムメールの新傾向を警告--小さな島々からなる国のドメインを悪用
McAfeeでスパムメール対策を担当する研究者らが、スパムメールの新しい傾向について調査を進めている。同社では、この傾向を「spam island-hopping」と呼んでいる。 セキュリティ対策企業McAfeeによると、小さな島々からなる国のドメイン名を取得し、そのドメインへのリンクをはった迷惑メールを送信する業者が多くなっているという。McAfeeでは、アイルランド海に位置するマン島や南国のトケラウ諸島などのドメイン名を利用したスパム活動を調査している。 スパム送信者は従来、その送信メールに.com、.biz、.infoなどのよく知られたトップレベルドメインを使用していた。小さな島国のトップレベルドメインはスパムフィルタに登録されていない確率が高いため、それらのドメイン名を使用することで検出を回避しようというわけだ。 McAfeeによると、あまり知られていないトップレベルドメインを使用
Third Party Relay Check RBL.JP第三者中継チェック RBL.JP
This service will check your server to see if it is possible for a third party to relay mail from your server. This service will test several techniques for sending relayed mail, but no mail will actually be sent to your server. If your server passes all tests performed by this serivice, no relays accepted in blue will be dispayed at the bottom of the output report. If any or all of the tests f
高木浩光@自宅の日記 - RFIDタグ搭載ランドセルの校門通過記録で仲良しグループを割り出すという小学校教諭の発想は普通?
■ RFIDタグ搭載ランドセルの校門通過記録で仲良しグループを割り出すという小学校教諭の発想は普通? 論座2006年8月号に「IT技術は小学生を守るか」という記事が出ていた。これに次の記述がある。 立教小学校(略)の「登下校管理システム」は、ICタグを用いたセキュリティーシステムの草分けだ。(略)導入を進めた石井輝義教諭(情報科主任)は「動機は、どちらかというとセキュリティーよりも利便性にありました」と語る。(略) 「教師の仕事の一部を肩代わりしてもらうことで、生身の子どもと接することに集中できる」。今後はさらに、記録を時間順にソート(並べ替え)して仲良しグループを割り出す、長期欠席児童を把握するといった可能性を考えている。昨年5月の遠足では、バスに児童が乗り込んだかどうかタグで確認する実験も行った。無線LAN機能と専用ソフトを備えたモバイルPCをリーダーとして用いたという。 さらに、技術
ソースコード of camellia
The requested URL was rejected. Please consult with your administrator. Your support ID is: 9690375341464519136
開発者のための正しいCSRF対策
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
高木浩光@自宅の日記 - 次は「汝のcacheを開いて鏡に映して見よ」と国民に呼びかけてはどうか
■ 次は「汝のcacheを開いて鏡に映して見よ」と国民に呼びかけてはどうか 先週、とうとう内閣官房長官が「Winny使わないで」と国民に呼びかけたという。これに対し、ニート達からは「お願いする相手が違うだろ。警察官にお願いしろよ」といった反発がみられたが、官房長官の呼びかけの趣旨は、情報漏洩事故を起こさないためにというよりも、誰かが今後も起こすかもしれない万が一の事故のときに、その後の被害(被害者は漏らされた一般市民である)の広がりを小さく抑えるために「使わないで」というものだろう。 それは、チェーンメールが酷く広がっているときに、メールの転送をやめるように呼びかけるのと類似している。 チェインメールは比較的早い時期から、いわゆる「ネチケット」において、「絶対にやってはいけないこと」とされてきた。たとえ献血が必要であっても、すべて駄目だとされている。これに反対する人はほとんどいない。ネチケ
「RFIDタグもウイルスに感染」、研究者が警告
ウイルスに感染したRFIDタグを付けた手荷物が、世界中の空港に感染を広める――蘭大学の研究者はこのような例を挙げ、RFIDタグにウイルスを感染する方法を披露した。 あなたの猫はコンピュータウイルスに感染していませんか――? 蘭アムステルダム自由大学の研究者らは今週、ペットや商品に取り付けられたRFIDタグがウイルスに感染する恐れがあるとする論文を、イタリアで開催のIEEE PerCom 2006で発表した。 彼らは、RFIDタグにコンピュータウイルスを感染させる方法を発見したとしている。これまでは、RFIDはメモリ容量が限られているため、このようなことは不可能だと考えられてきたという。 同校コンピュータサイエンス学部博士課程のメラニー・リーバック氏は、PerComで「Is Your Cat Infected with a Computer Virus」と題した論文を発表した。この論文は、R
【特集】どうする「寿命切れ迫るWindows XP」(第1回)
【特集】どうする「寿命切れ迫るWindows XP」(第1回) XPユーザーは「サポート終了」と「SP 3の出荷延期」に注意 現在店頭で販売されている最新の「Windows XP Home Edition搭載パソコン」が,あとわずか3年で「寿命切れ」になってしまうことや,そもそも買った時点で「危険な状態」であることを,どれほどのユーザーが理解しているだろうか---。 マイクロソフトは1月,Windows XPに関する新しいサポート・ポリシーを発表した。1つ目の発表はWindows XPのサポートの「延長」であり,もう1つの発表は次期サービス・パック「Windows XP Service Pack 3」の「出荷延期」であった。この2つの発表は,Windows XPを購入したり使い続けたりする上で,ユーザーに非常に大きな影響を与えるものである。しかし,その影響の大きさを理解しているユーザーはご
Ganymed SSH-2 for Java
Ganymed SSH-2 for Java is a library which implements the SSH-2 protocol in pure Java (tested on J2SE 1.4.2 and 5.0). It allows one to connect to SSH servers from within Java programs. It supports SSH sessions (remote command execution and shell access), local and remote port forwarding, local stream forwarding, X11 forwarding, SCP and SFTP. There are no dependencies on any JCE provider, as all cry
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Safari」Windows版の複合的脅威について、Microsoftが警告
『超訳 つくったものを悪意からまもる十の所作』へのコメント
マイクロソフトアップデート(Microsoft Update)で固まる - 川原和博の日記帳