タグ

関連タグで絞り込む (9)

タグの絞り込みを解除

セキュリティに関するhyperashのブックマーク (8)

  • UTF-8 エンコーディングの危険性 - WebOS Goodies

    的に、まともな国際化ライブラリを使っていれば、上記のような不正な文字コードはきちんと処理してくれるはずです。実際、 Opera, Firefox, IE ともに適切にエスケープしてくれました。また、 UCS に変換した後にエスケープ処理を行うことでも対処できるかもしれません。しかし、複数のモジュールで構成されるような規模の大きいアプリケーションでは、そのすべてが適切な処理を行っていると保証するのも、なかなか難しいかと思います。ここはやはり、すべての外部入力に含まれる不正なシーケンスを、水際で正規化するという処理を徹底するのが一番かと思います。 例えば Ruby の場合、不正な UTF-8 コードを検出する最も簡単な方法は、 String#unpack を使って UCS へ変換してみることです(昨日の記事への kazutanaka さんからのはてぶコメントにて、 iconv でも同様なこ

  • SQLインジェクション再現デモムービー:phpspot開発日誌

    0-DAY - SIMPLE SQL INJECTION あるオープンソースのCMSのセキュリティホールを探る際のFlashムービー。 映画のイントロのように始まり、怪しげな音楽と共にムービーが再生される等、あやしい雰囲気たっぷりに作られています。 IRCチャットで依頼が始まり、ソースのDL〜grepしてSQLインジェクションの脆弱性を見つけ、実際にIDとpassを取り出すまで。 こういう手口で脆弱性が発見されるんだな、というのがハッキリと分かります。 もちろん、ソースなど見なくてもURLから類推したりその他のパターンも多数あると思いますが、オープンソースの場合はこんな感じでソースをgrepされたりするんでしょうね。 SQLインジェクション対策の参考に。

  • 国内open proxyの現状

  • Apacheのセキュリティ設定例

    ■ Apacheのセキュリティ対策 Apacheをインストールしたままの状態及びhttpd.confを設定例で行っただけでは不十分です。 c:\usr\apache\htdocs\manual c:\usr\apache\icons \manualと\icons、2つのフォルダがアクセスを許したままになっています。ここは対策をしなければなりません。少し面倒ですが、ちょっと変わった対処法を紹介します。 図は、ブラウザでhttp://localhost/manual/とhttp://localhost/iconsへアクセスを行った時の例です。 ■ \iconsフォルダへのアクセス対策 c:\usr\apache\confフォルダのhttpd.confリストより、次の580〜587行の定義を見つけてください。そして、584行目のNoneをAllと書換えて下さい。 580:

  • 適切なエスケープ処理でクロスサイトスクリプティングに備える ― @IT

    Webアプリケーションのセキュリティホールが注目を浴びたことから、セキュリティを意識した開発の必要性が高まってきている。今後の流れとして、セキュリティ上満たすべき項目が要件定義の段階から組み込まれるケースが増えていくことが予想されるが、実際の開発現場においてはセキュリティホールをふさぐための実装方法が分からないという声も多いのではないだろうか。 そういった開発者の負担を少しでも軽くすることができるように、連載ではJavaにおけるWebアプリケーション開発時に最もよく利用されているStrutsフレームワークの実装に踏み込んで、セキュリティ上注意すべきポイントを解説していきたい。なお、連載ではStruts 1.2.8を対象として解説を行っていくが、すでにStrutsを利用したWebアプリケーション開発を行っている開発者をターゲットとしているため、Strutsの使用方法、各機能の詳細な説明な

    適切なエスケープ処理でクロスサイトスクリプティングに備える ― @IT

  • 開発者のための正しいCSRF対策

    著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで稿ではウェブアプリケーション開発者にとっての当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz

  • グループ・ポリシーでWinnyの実行を禁止する - @IT

    Windows OSの機能を使ってWinnyを禁止するためには、Active Directoryのグループ・ポリシーを使う方法がある。実行ファイル(Winny.exe)をグループ・ポリシーの「ソフトウェアの制限のポリシー」に登録しておくと、指定されたプログラムの起動が禁止されるという機能である。この機能については関連記事でも取り上げているが、TIPSでは、Winnyの実行を禁止する具体的な設定方法についてまとめておく。ただしこのポリシーはWindows XPおよびWindows Server 2003でしか利用できない方法である。 グループ・ポリシーの[ソフトウェアの制限ポリシー]を利用するためには、まずポリシーを設定したい組織単位(OU)を選択してからグループ・ポリシー・エディタを開く。そして[コンピュータの構成]の[Windowsの設定]-[セキュリティの設定]-[ソフトウェアの制限

  • サービス終了のお知らせ

    サービス終了のお知らせ いつもYahoo! JAPANのサービスをご利用いただき誠にありがとうございます。 お客様がアクセスされたサービスは日までにサービスを終了いたしました。 今後ともYahoo! JAPANのサービスをご愛顧くださいますよう、よろしくお願いいたします。

  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.