WEBプログラマー必見!WEB脆弱性基礎知識最速マスター - 燈明日記
以下は、WEBプログラマー用のWEB脆弱性の基礎知識の一覧です。 WEBプログラマーの人はこれを読めばWEB脆弱性の基礎をマスターしてWEBプログラムを書くことができるようになっているかもです。 また、WEB脆弱性の簡易リファレンスとしても少し利用できるかもしれません。 WEBアプリケーションを開発するには、開発要件書やプログラム仕様書通りに開発すれば良いというわけにはいきません。 そう、WEB脆弱性を狙う悪意のユーザにも対処しないといけないのです。 今回、WEBアプリケーションを開発にあたってのWEB脆弱性を、以下の一覧にまとめてみました。 このまとめがWEBアプリケーション開発の参考になれば幸いです。 インジェクション クロスサイト・スクリプティング セッション・ハイジャック アクセス制御や認可制御の欠落 ディレクトリ・トラバーサル(Directory Traversal) CSRF(
第9回 Windows 7のファイアウォール機能
前々回の「第7回 Windows 7のネットワーク機能概要とホームグループ」では、Windows 7のネットワーク機能の概要とホーム・グループ・ネットワークについて解説した。今回はWindows 7のファイアウォール機能について解説する。なおファイアウォールの機能はWindows Server 2008 R2の場合でもほぼ同じなので、以下ではまとめて記述しておく。 Windows OS向けファイアウォールの概要 Windows 7(およびWindows Server 2008 R2)のファイアウォール機能は、前身となるOSであるWindows Vista/Windows Server 2008のWindowsファイアウォール機能を強化したものになっている(関連記事参照)。そこで、これらのOSにおけるファイアウォール機能を簡単に比較しておこう。 Windows OS向けのファイアウォールは、
「WEP」はもう危険? 家庭の無線LANセキュリティ対策を考える
無線LANの暗号化方式「WEP」が、わずか10秒で解読されるという発表がコンピュータセキュリティシンポジウム2008で行われた。今回の特集ではWEPの危険性を踏まえた上で、家庭内で行える無線LANのセキュリティ対策について考えていく。 ■ 「WEPは約10秒で解読できる」と大学教授が発表 2008年10月に開催された「コンピュータセキュリティシンポジウム2008」で、神戸大学と広島大学のグループから無線LANの暗号化方式である「WEP」の解読にわずか10秒で成功したという興味深い発表がなされた(関連記事)。 無線LANは、電波を利用することで、面倒な配線をすることなくPCやゲーム機などをネットワークに接続することができるという利便性を持つ反面、そのセキュリティも問題になりがちだった。PCやゲーム機の間を流れるデータが電波の形で存在するため、これを盗聴することでその内容が第三者にも見えてしま
常駐させてもめちゃくちゃ軽快に動作する総合セキュリティソフト「イーセット スマート セキュリティ」 - GIGAZINE
軽快で高機能、なおかつ検出率も非常に高く、さまざまな賞も受賞して実績のある有名なアンチウイルスソフト「NOD32」の上位版、それが総合セキュリティソフト「ESET Smart Security」です。 基本的にはNOD32にパーソナルファイアウォールと迷惑メール対策機能が統合されているソフトとなっており、このソフト一本で、ウイルス対策・スパイウェア対策・不正侵入対策・迷惑メール対策・フィッシング対策などが可能。しかも、処理スピードが極めて高速で、常駐させていてもものすごく軽い。使うのも簡単で、基本的にはインストールするだけ。細かい設定はほとんど不要なので、初心者でも問題なく使用可能、全自動で防御してくれます。もちろん、細かく設定することも可能で、警察庁に4000ライセンス導入された実績もあるというスグレモノです。 というわけで、どれぐらい軽いのか、そしてどのようにして利用できるのか、実際に
安全なセッション管理を実現するために ― @IT
HTTPを使用したWebアプリケーションにおいて、安全なセッション管理を行うことは難しい問題である。タブブラウザによる画面の複数起動や、Webブラウザの戻るボタン/更新ボタンの押下といった、予期しない画面遷移に起因するバグの発生に頭を悩ませることは多いだろう。 大きな問題が発生しないならば、画面遷移の仕様上の制限をクライアントに許容してもらう選択肢もあるだろうが、不正な画面遷移を利用したセキュリティホールが存在するならば、放置しておいてよい問題ではなくなる。今回はセッション管理を安全に行うための基本的な注意点について解説していこう。 セッション固定攻撃とは何か セッション固定攻撃(Session Fixation)という脆弱性を耳にしたことはあるだろうか。脆弱性そのものの詳しい解説は本稿の趣旨ではないため割愛するが、簡潔に説明すると、以下のような手順を踏むことによりセッション情報がハイジャ
セッション固定攻撃 | 鳩丸ぐろっさり (用語集)
用語「セッション固定攻撃」についてセッション固定攻撃 (せっしょんこていこうげき)"Session Fixation" のことで、セッションハイジャックの手法の一つです。 通常のセッションハイジャックは、正規ユーザーに発行されたセッション ID を攻撃者が入手することで成立します。セッション固定攻撃の場合は発想が逆で、正規ユーザーが使用するセッション ID を攻撃者が指定するのです。正規ユーザーがそのセッション ID でログインすると、攻撃が成立します。 しかし普通はこんな攻撃は成立しません。普通の Web アプリケーションでは、ユーザがログインに成功した時に初めてセッション ID が発行されます。このセッション ID はサーバ側が勝手に割り振るもので、ユーザ側が好きなセッション ID を指定する余地などないのです。 ところが何を思ったものか、世の中にはログインする前にセッション ID を
ネガティブ・シンキングのすすめ - 池田信夫 blog(旧館)
当ブログの記事には、多いときは100以上のコメントがつくので、ほとんど読んでないのだが、中には管理人が読んでないうちに本文から脱線して掲示板みたいになっているスレがある。12/29の記事のコメント欄では、ちょっとおもしろい論争が行なわれているので紹介しておく。たぶんきっかけは制限ではなく許可が良い (就職氷河期っ子) 2007-12-31 16:40:32 セキュリティエンジニアリングでは、何を制限するのかではなく、何を許可するかを考えます。これは必要最低限の権限しか与えない事により、起こりうる災害を減らすのと同時に、犯罪経路を狭めるためです。 ですから、日本の経済を発展させるためには、何でも官僚にまかすのではなく、何を任せるのか明確に定義し、何かを制限するのではなく、何を許可するのかという点に着目すればよいと私は思います。というコメントだと思うが、この「制限するのではなく許可する」と
基礎知識 インターネットって何?
インターネットは、米国国防総省が構築した、ARPAnet(Advanced Reserch Projects Agency net)を起源とする、分散型のコンピュータネットワークです。1990年代に、商用ネットワークとして利用可能になるとともに、世界中で利用者が急激に増大し、電子メールやホームページの閲覧など、さまざまな用途で幅広く活用されています。 ここでは、情報セキュリティの対策を立てるために最低限必要な知識として、インターネットの仕組みやインターネットでできることを説明します。 インターネットの仕組み 電子メールの仕組み ホームページの仕組み ショッピングサイトの仕組み 電子掲示板の仕組み メーリングリストの仕組み ネットオークションの仕組み チャットの仕組み ブログの仕組み 暗号化の仕組み SSLの仕組み ファイアウォールの仕組み Cookieの仕組み
IEとFirefoxで「リファラを送信しない設定」をする : LINE Corporation ディレクターブログ
こんにちは、佐々木です。 他社サイトへのリンクが含まれるような開発環境で作業を進める場合、使用しているブラウザを「リファラを送信しない設定」にする必要があります。うっかりクリックしてしまったサイトに送信したリファラから「開発環境のURLがばれてしまう」という危険を防ぐためです。 つまり、リファラを送信する設定のまま開発環境で作業を進めることは、「スーツの内ポケットにキャバクラのマッチが入ったままになっている」のと同じくらい無防備な状態といえます。惨事が起こる前に、しっかりと準備をしておきましょう。 『Internet Explorer』の場合 『Internet Explorer』(以下、IE)の場合は「Proxomitron」を使う方法もありますが、リファラを送信しない設定だけであれば「Fiddler2」のほうが簡単ですので、ここではその方法を紹介します。 Fiddler2 を使ってIE
@IT:@ITハイブックス連携企画 > Windows サーバー セキュリティ徹底解説
本記事は、@ITハイブックスシリーズ『Windows サーバー セキュリティ徹底解説』(インプレス発行)を、許可を得て転載したものです。同書籍に関する詳しい情報については、「@ITハイブックス」サイトでご覧いただけます。 「認証」とは、ひと言で説明すれば「本人であることを確認する作業」のことです。実社会においても、いたるところで認証が行われています。例えば、会員制のスポーツクラブに入館する際には、その受け付けにおいて会員証を提示しますし、海外に旅行する際には、その入国審査においてパスポートを提示します。これは、何者かが自分を偽ることを防ぐためです。同様にコンピュータのセキュリティにおいても認証は重要です。適切な認証を行わなければ、偽者が本人のふりをしてシステムを利用するおそれがあるからです。 Windows Server 2003では、ユーザー名とパスワードにより認証を行います。これが「ロ
暗号化アルゴリズム
暗号アルゴリズムには共通鍵暗号アルゴリズム(対称鍵)と公開鍵暗号アルゴリズム(非対称鍵)がある。共通鍵方式は任意の長さのメッセージの暗号化のみに用いられるが、公開鍵方式は短いメッセージの暗号化、電子署名、鍵交換など各種の異なった目的に使われる。共通鍵暗号方式にはブロック暗号化とストリーム暗号化の方式がある。 共通鍵方式 秘密鍵、対称鍵(Symmetric Key)とも言う。 送信者と受信者は1つの鍵を秘密に共有し、暗号化と復号化に共通の鍵を使う。暗号の強度を確保するには鍵の長さが重要なファクターとなるが、鍵の長さが増せば処理コストが増加する。共通鍵方式は長い文書全体を暗号化するのに用いられるため、強度とともに処理効率の良いアルゴリズムが求められる。共通鍵方式の暗号アルゴリズムは数多くの方式が提案されている。 共通鍵の処理方法には、固定長のビット毎に区切って暗号化(ブロック暗号化)する方式と
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
検疫ネットワーク / SAFETY JAPAN [セキュリティの今を読み解く10のキーワード] / 日経BP社
Technical documentation
MSDN ホームページ
IPA ISEC セキュア・プログラミング講座