ここで述べるのは、脆弱性が生まれにくいWebアプリケーションを構築するために設計段階、あるいはそれ以前の段階で考慮しておくとよい事項の例である。 (1) 開発環境の選択 1) プログラマが脆弱性をつくり易い環境を避ける 今日のWEBアプリケーション開発環境は、プログラミング言語の処理系に加えて、開発フレームワークやコンテンツ管理システム(CMS)、さらに外部のテンプレート言語までを加えた総合的な環境となってきている。 短時日で素早くサイトを立ち上げることを目的として、「軽量言語」と呼ばれる各種スクリプト言語が標準で備えているWEBアプリケーションを手軽に開発するための機能やライブラリをそのまま利用することは悪くない。しかし、その手軽さ故に、セキュリティの観点からは多くの脆弱性を生んできた経緯がある。 例えば、下記の事例が挙げられる。 PHPの4.1以前のバージョンの環境は、「registe
(Last Updated On: )最近PostgreSQL、MySQL両方にSJISエンコーディングを利用している際のエスケープ方法の問題を修正がリリースされています。この件は単純に「データベースシステムにセキュリティ上の脆弱性があった」と言う問題ではなく「アプリケーションの作り方を変える必要性」を提起した問題です。 参考:セキュアなアプリケーションのアーキテクチャ – sandbox化 PostgreSQL、MySQLの脆弱性は特にSJIS等、マルチバイト文字に\が含まれる文字エンコーディングが大きな影響を受けますが、同類の不正な文字エンコーディングを利用した攻撃方法が他の文字エンコーディングでも可能です。例えば、UTF-8エンコーディングは1文字を構成するバイト列の最初のバイトの何ビット目までが1であるか、を取得してUTF-8文字として1バイト~6バイト必要なのかわかる様になってい
最新文章 2018-12-26 17:10▪ 致敬英雄,致敬不朽的精魂 2018-12-26 17:10▪ 四十年来闵行人的文化生活史一幕幕回放 2018-12-26 17:10▪ “笔尖上的童画”——欢图学员作品成果展将在东方网文化活动... 2018-12-26 17:10▪ “金色热线”12月27日将迎来年终特别节目 2018-12-26 17:10▪ 北京市发布持续低温蓝色预警信号 2018-12-26 17:10▪ 北京市网信办推进自媒体账号专项治理关闭11万个 2018-12-26 17:10▪ 有创意的崇明“橘农”让梦想和情怀扎根农场 2018-12-26 17:10▪ 突发!上海地铁3、4号线晚高峰运行延误系人员进入线路 2018-12-26 17:10▪ 中国经济总量将达90万亿关键时刻传递重要信息 2018-12-26 17:10▪ 海底捞:"吃出卫生巾"系人为当事顾客
第1章 PHP 1.1 PHPによるサーバサイドプログラミング 1.2 Apacheのインストール 1.3 Apacheの基本的な設定を行う 1.4 PHPのインストール 1.5 ApacheとPHPの基本動作確認 1.6 PostgreSQLのインストール 1.7 PostgreSQLの起動 第2章 PostgreSQLによるテストデータベースの作成 2.1 テストデータベースの作成 第3章 PHP簡単プログラミング 3.1 PHPの動作確認 3.2 HTMLファイルとPHPファイル 3.3 文字列の送信 3.4 時刻の表示 第4章 PHP入門 4.1 変数 4.2 定数 4.3 リテラルとデータ型 4.4 配列 4.5 演算子 4.6 制御構造 4.7 組み込み関数 4.8 ユーザ定義関数 4.9 変数の有効範囲 4.10 正規表現 4.11 正
2006年04月18日12:24 カテゴリLightweight Languages 速く動くより早く書くが重要な時代 以下の意見に首肯する人には、普通のやつらの上を行くことは出来ないだろう。 Hardcoded: 素朴な疑問 - なぜスクリプト系 Web アプリ言語がいまだ主流なのか? 現在、処理速度、データ量、並列処理といった諸要件が Web アプリに厳しい条件を課している。しかしながら、相変わらず Web アプリの主流がスクリプト言語にあることには素朴な疑問を覚えざるを得ない。ムーアの法則よろしくいくらコンピュータの性能が向上しているとはいえ、大量のスクリプト言語処理が及ぼす負荷は計り知れない。 ましてや、AmazonやGoogleには何億年たっても追いつけない。 理由はタイトルの通り。今や速く動くプログラムを書く事より、プログラムを早く書く方がよっぽど重要だからだ。以下はあまりに有
1 安全なWebアプリ開発の鉄則2005 独立行政法人産業技術総合研究所 情報セキュリティ研究センター 高木 浩光 http://staff.aist.go.jp/takagi.hiromitsu/ Internet Week 2005 チュートリアル 2005年12月8日 配布資料 2 目次 • Webアプリの基本的な構成 – セッションIDによるセッション追跡 – セッションIDの配置 • セッション追跡に対する攻撃と防御 – セッションハイジャック – セッションライディング(CSRF:クロス サイトリクエストフォージェリ) – セッション固定化 • セッション追跡方式の欠陥 – 推測可能なセッション追跡パラメタ – 予測可能なセッションID – 稚拙な暗号の使用 • 権限確認の欠陥 – アクセス制御の欠如 – ユーザ識別の欠如 • 画面設計の問題 • 万が一に備えた適切な実装 •
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く