XSS Filter Evasion - OWASP Cheat Sheet Series
XSS Filter Evasion Cheat Sheet¶ Introduction¶ This article is a guide to Cross Site Scripting (XSS) testing for application security professionals. This cheat sheet was originally based on RSnake's seminal XSS Cheat Sheet previously at: http://ha.ckers.org/xss.html. Now, the OWASP Cheat Sheet Series provides users with an updated and maintained version of the document. The very first OWASP Cheat S
IPA セキュア・プログラミング講座 「Webアプリケーション編」に「Web関連技術」を追加
本ページの情報は、2016年10月時点のものです。2023年10月に再構成をいたしました。 なお、内容に変更はありません。 2016年10月版 2002年2月に「Webプログラマコース」と「製品プログラマコース」、2007年の6月に「Webアプリケーション編」、9月に「C/C++編」と分けて公開してきた講座のうち、原則を中心として共通的なものをまとめて2016年10月に再編しました。 なお、資料内の参照先はすべてサイトリニューアル前のURLであるため、リダイレクトを設定しています。 セキュア・プログラミング講座(2016年10月版/2017年6月一部修正)(PDF:2.3 MB) 2007年版 「ソースコード検査技術の脆弱性検出能力向上のための研究」(注釈1)を実施した一環として取りまとめた内容を、2002年から公開していたセキュア・プログラミング講座(旧版)の改訂版(2007年版)として
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
パスワード保存のお供に Crypt::SaltedHash - JPerl Advent Calendar 2009
パスワード保存のお供に Crypt::SaltedHash - JPerl Advent Calendar 2009 Perl に関するちょっとした Tips をのっけてみるよ。ちゃんと続くかな? こんにちは。はてなでは id:sfujiwara、それ以外のところでは fujiwara です。 Webサービスなどでユーザーのパスワードを預かる場合、「一方向ハッシュ関数を通した値を保存せよ」というのはよく知られた話だと思いますが、単に MD5 や SHA1 の値を保存するだけでは安全性に問題があります。 例えば Digest::MD5::Reverse というモジュールを使うと、MD5 の値を逆算することができてしまいます。 use Digest::MD5::Reverse; print reverse_md5("388c3c9c00e651cc163cbdd47f08c427"); # f
ラック、Apache対応のWebサーバログ解析ツール「SecureSite Checker Free」 | エンタープライズ | マイコミジャーナル
ラックは9日、Webアプリケーションの脆弱性を狙った攻撃の有無を確認できるWebサーバログ解析ツール「SecureSite Checker Free」の最新版を公開した。価格は無料。 今回のバージョンアップでは、Apache HTTP Serverへの対応にくわえ、SQLインジェクションなど最新のWebアプリケーション脅威の検知も可能となった。同社Webサイトから利用者登録を行うことで、自社Webサーバのログが解析でき、外部からの攻撃の痕跡が確認できる。同社では、SecureSite Checker Freeによるログ解析の結果、Webサイトへの攻撃の痕跡を検知した場合は、同社のセキュリティコンサルタントによる相談にも応じるとしている。Webアプリケーションを詳細に診断し、脆弱性が発見された場合の対策方法までアドバイスを実施するなどのサービスが用意されている。
堅牢なパスワードを強制するテクニック - 日向夏特殊応援部隊
やっぱりサービス側で堅牢なパスワードをユーザーに強制する仕組みが無いと問題があるサービスと言うのはたくさんあるって事で、Perlで出来る限り簡単にそういう仕組みを作れないかなと。 幾つかピックアップしてみました。 Data::Passwordモジュールを使う 真っ先にこれ。UNIX系OSでのパスワードの強度チェックと似たモジュールのようです。 use Data::Password qw(:all); print IsBadPassword("hogehoge"); 文字列が表示されちゃう場合はNGなパスワード。 このモジュールは辞書設定も出来るようです。 @Data::Password::DICTIONARIESに辞書ファイルを指定しておくとそこの内容も見てくれるみたい。 ありがちなパスワード集はftp://ftp.ox.ac.uk/pub/wordlists/に言語別にあります。 またU
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
