クロスサイトスクリプティング (cross site scripting) とは Web アプリケーションの脆弱性のひとつで、HTML を動的に生成する際に、リクエストデータやヘッダに埋め込まれた悪意のあるデータをそのまま HTML として表示してしまい、悪意のあるスクリプトが実行されてしまうものです。悪意をもったスクリプトがサイトを横断して実行されることからクロスサイトスクリプティングと命名されています。略称は、CSS(Cascading Style Sheet) と混同されるため、CSS ではなく XSS と略されます。 例えば、掲示板などで、利用者が入力した文字列をそのまま HTML として表示した場合、利用者は文字だけではなく、HTML のタグも埋め込むことが可能となります。<b> などの無害なものであれば構いませんが、<script>~</script> で悪意のあるスクリプトを
みなさんこんにちは。 FUJITSU その2 Advent Calendar 2018 17日目の記事担当は私 ゆきはらです。 前回14日目はkeiya-nobutaさんのSphinxの導入とLinux Kernelドキュメントのビルドで、 18日目はhasunumaさんの富士通サイバーセキュリティーワークショップ(FCSW)2018参戦記となっています。 はじめに なぜこのテーマにしたか Webアプリケーションに対する代表的な攻撃手法としてXSS(クロスサイトスクリプティング)とCSRF(クロスサイトリクエストフォージェリ)というものがあります。 しかしこの二つ、名前だけでなく攻撃手法も似ていて違いがとてもわかりづらいです。かつて私がセキュリティを勉強していたときもよく混同していました。 そこで、この記事ではXSSとCSRFの仕組みとそれらの違いについてまとめることにしました。 対象とす
これは何? リクエストパラメータ・セッションに関するまとめ とっても簡単なCSRF対策 PHPによる簡単なログイン認証いろいろ セキュアな掲示板を最小構成から作る いろいろセッションが絡む記事を書いてきましたが,この記事で紹介するものが以下のすべてを行える完成形です. 不正なセッションIDは無視してsession_startによるエラー発生を防ぐ セッションの失効までの期限延長を行う (任意) セッションの失効より短いスパンでセッションIDの再生成を行う (任意) CSRFトークンの検証を行う (ここから更に改善するとすればオブジェクト指向で書くぐらいですが,シンプルにしたかったので敢えて避けました) 関数定義 <?php // CSRFトークン生成に使うハッシュアルゴリズム const CSRF_TOKEN_HASHALGO = 'sha256'; // セッションIDの更新時刻に使う
最近、何かとGoogle、特にGmailのセキュリティ・プライバシーの話題がホットだ。 Gmailにもプライバシーはある(ただし, こんだけ) | TechCrunch Japan ただ、いくつかこの話題や日本で省庁がGoogleグループを公開のデフォルト設定で利用していたことなどをベースにセキュリティのことを考えたらGoogle・Gmailを利用すべきではないという誤った意見が散見されるので簡単にまとめておきたいと思う。ついでに、ここでは大雑把にセキュリティは悪意のある第三者からのデータ奪取に対する耐性、プライバシーはGoogle自身や公的機関からのデータの取得に対してユーザーが与えられている権利と考えておくと理解が早い。 メール・Gmailに関するセキュリティに関すること まず、話題をGmailに絞るとメールというシステムはそもそもセキュリティ的に極めて脆弱だ。メールはその出自からも信
こんばんは、最近寒い夜が続いていて自転車通勤がつらくなってきた naoya です。 ウノウでは、フォト蔵や社内システムなどは、すべて専用サーバを構築して運用をしています。 今日は、専用サーバを構築するときに、僕がウノウで学んだ専用サーバでまず行う4つの設定を紹介します。 なお、今回の設定はすべて Fedora Core 5 をもとにしています。 (1) sudo を使えるようにする sudo コマンドを使えるようにします。sudo コマンドは、別のユーザとしてコマンドを実行できるコマンドです。 sudo コマンドを使えるようにするには、/etc/sudoers に sudo を許可するグループを追加します。次の例は、unoh グループを追加する例です。 %unoh ALL = (ALL) ALL, !/bin/su, /bin/su postgres, /bin/su * postgres
http://d.hatena.ne.jp/ryoko_komachi/20060324/1143502995 はてなのDBにはパスワードがハッシュ値じゃなくて生のままはいってる!セキュリティ的に大丈夫なのか?っていうお話。何人か非難の声をあげている。 …ええっと、安全じゃない通信路(インターネット)に生のパスワードを流さずに済むダイジェスト系の認証を使おうとしたら、サーバ側には生パスワードがなきゃ無理だよね?認証する通信路の安全性の話に全く触れずに、パスワードの保存の仕組みだけを取りあげるのは何かおかしな話な気がする。勘違いがあったらご指摘ください。 生パスワードが流れても大丈夫なように認証を全てSSLで安全な通信路にすれば、ハッシュ値の保存だけで済んで安全っていう議論はありうるけど、そもそもそこまでする必要はあるんだろうか?パスワードDBが突破された後に守るべき物が残っているのだろうか
PHPは,数え切れないほどのWebサイトで使われている非常に有名なプログラミング言語である。基本的にはスクリプト言語であり,実行時にコンパイルされる。PHPは非常に多くのコミュニティによって支えられており,様々な機能を提供する膨大な数のオープン・ソース・ライブラリが公開されている。「WordPress」といった人気アプリケーションも,PHPで記述されている。ただし,PHPにもセキュリティの問題は存在する。 PHPのセキュリティ問題は,長年にわたって多くの開発者が問題の修正に取り組んできた。しかし,常に迅速な対応が行われてきたわけではなく,被害を受けるユーザーも存在した。2006年末には,PHP開発者のStefan Esser氏が,この状況に嫌気がさして,PHP Security Response Teamを辞任した。 Esser氏は自身のブログで,「(辞任した理由は)いくつかあるが,最も決
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
Ywcafe.net This Page Is Under Construction - Coming Soon! Why am I seeing this 'Under Construction' page? Related Searches: Cheap Air Tickets Top Smart Phones fashion trends Healthy Weight Loss Health Insurance Trademark Free Notice Review our Privacy Policy Service Agreement Legal Notice Privacy Policy
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く