このページは書籍「体系的に学ぶ 安全なWebアプリケーションの作り方」の公式サポートページです。 本書に関する話題をつぶやく際は、ハッシュタグ #wasbook をお使いください。 著者: 徳丸浩 発売日: 2011年3月1日 ISBN: 978-4-7973-6119-3 出版社: ソフトバンククリエイティブ 価格: ¥3,360(税込み) →出版社のサイト →電子書籍で購入する(DRMフリーPDF) →電子書籍で購入する(Kindle) →電子書籍で購入する(Google play) →Amazonで購入する(送料無料) →楽天ブックスで購入(送料無料) →丸善&ジュンク堂で購入する(送料無料) 目次 1章 Webアプリケーションの脆弱性とは 2章 実習環境のセットアップ 3章 Webセキュリティの基礎 ~HTTP、セッション管理、同一生成元ポリシー 4章 Webアプリケーションの機能
“特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部) 無視できない“ケータイWeb”セキュリティ はじめまして。今回からこの連載を担当することになりました徳丸浩といいます。この連載では、携帯電話向けWebアプリケーション(以後「ケータイWeb」と表記します)のセキュリティについて解説します。ここでいう携帯電話とは、iモードやEZweb、Yahoo!ケータイなど、日本で従来、広く利用されているサービスを指します。一方、いわゆるフルブラウザやiPhone、Android端末などは含みません。 ケータイWebは、一般のPCなどから利用されるWebと比較して、使用技術の90%くらいは共通
Copyright(C)2008 HASH Consulting Corporation. All Rights Reserved.
最近問題となっているWebサイトの改ざんは,サイトの改ざん自体が目的ではなく,改ざんされたコードを参照した一般ユーザーを危険なサイトに誘導して,マルウエアを導入することを最終的な目的としている。この目的のため,HTMLのIFRAME要素やSCRIPT要素が利用される場合が多い。 先に説明したように,SQLインジェクションのぜい弱性を利用してデータベースの内容を,これら要素を使った内容に書き換えることが可能な場合がある。それでも,その内容をそのまま表示するかどうかはサイトの作りによって異なる。 一般的にデータベース中の「<」などの特殊記号をそのまま表示するとクロスサイト・スクリプティングのぜい弱性(XSS)の原因となるので,表示の際にこれらの文字をエスケープすることが行われる(図1)。 現実には多くのサイトにおいて,SQLインジェクションによって挿入されたIFRAME要素やSCRIPT要素が
Webサイトの改ざんが問題になっている。今年に入ってから,中国からのSQLインジェクション攻撃が話題になっているが,Web改ざんは最近始まったものではなく,以前から継続して起こっている問題だ。 振り返ってみると,2000年初頭に通産省(当時)を皮切りに中央省庁のWebページが次々に改ざんされる事件があった。当時のマスコミには,「××省のWebページにはファイアウォールが導入されていなかった」という論調の記事が多く,一連の改ざん事件がきっかけとなり企業や官庁などへのファイアウォールの導入が進む結果となった。 現在はどうか。ファイアウォールの導入は非常に進んだが,現在でもWebサイトの改ざん事件は起こり続けている。すなわち,改ざんする側の技術が進み,ファイアウォールだけでは防御できなくなってきているのだ。 本連載では,Webサイトの改ざんに対する代表的な手口を紹介した上で,その対策を中心に紹介
ハテブの方で独立・起業系のコンテンツを時々チェックしていたため、「もしかして独立するの?」という反応を一部よりいただいておりました。 京セラコミュニケーションシステム(KCCS)を辞めるわけではありませんが、3月をもってフルタイムの社員から、少し勤務形態を変え、週二日だけ出社することになりました。 と2月から「部分的に」フリーになりました – 秋元の冒頭をテンプレートとして使わせていただきましたが、実際のところ、2008年3月をもってKCCSを社員としては退職し、4月以降週2日(業務の都合によってはもっと)KCCSに出社しています。KCCSでの肩書きは技術顧問です。 KCCSでの仕事について KCCSは私にとって居心地のよい職場でした。基本的に、自分のやりたい事業をやらせていただきましたし、自ら新規事業を企画し、それにどっぷり浸かって立ち上げるという得がたい経験をさせてもらいました。 しか
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く