セキュリティ

セッションID付きURLが Bot にインデックスされる等で、セッションID漏えい問題に対応したい

what 携帯サイトで、セッションID付きURLを利用して、セッションIDを引き回すと、セッションIDが漏えいするケースが多いため、セッションハイジャックにつながりやすいので、なるべくセッションIDを漏えいしにくい作りにしたい。 ちょっとググればたくさんこ…

OpenSSHの概要を知る

what [hoge@fuga ~]$ ssh baz@xxx.xxx.xxx.xxx Permission denied (publickey). [hoge@fuga ~]$ Permission denied (publickey). って何? ってことで、OpenSSHについて知らなすぎるので知る。 勉強材料 書籍「入門OpenSSH」にお世話になりました。 Amazon C…

RailsとSSL

はてなはただ - RailsとSSLmemoです。SSLやらないといけないので...。ヽ( ・∀・)ノくまくまー(2007-06-05) Rails で行こう! - Ruby on Rails を学ぶ - SSL 上で WEBrick を動かす capsctrldays(2006-05-10)

携帯SSLについて

携帯SSLについて 1.概要 ―――――――――――――――――――――――――――――――――――― 概要を知りたい。 とりあえず、何も分からんので、 「携帯 ssl」でググる。 ○携帯電話とSSLルート証明書 http://triaez.kaisei.org/~kaoru/ssl/cell.html ↑ここにまとまってるっぽい。 結論…

Captcha(画像認証) 〜 不正Post, Spamからガードできる? 〜

>コンピュータと人間を区別する完全に自動化された公開チューリングテスト)は チャレンジ/レスポンス型テストの一種で、ユーザが人間であるかどうかを決定する計算処理に使われる。 1. Captchaシステムは、ランダムな文字や数字の列を画面に表示する。表示…

強力なパスワードを作ろう

パスワード大事ですから。○強力なパスワードを作成する方法 by microsoft http://www.microsoft.com/japan/athome/security/privacy/password.mspx1.長くします。 理想は 14 文字以上です。 2.文字、数字、記号を組み合わせます。 パスワードに含める文…

「ぼくはまちちゃん」 ――知られざるCSRF攻撃

ちょい古いネタだが...。しっかり対策しないと!!http://www.atmarkit.co.jp/fsecurity/column/ueno/33.html http://www.itmedia.co.jp/enterprise/articles/0504/23/news005.html■CSRFとは CSRFという手法は、本来受け付ける必要がない(拒否すべき)外部…

Sender ID

むむ。これは、一度やってみよう。http://www.atmarkit.co.jp/fsecurity/special/82senderid/sender101.html

SQL Injection(SQLインジェクション:SQLの挿入) 2回目

前回に引き続き、SQLインジェクション。メモ。こんな、方法もある。こちらを参考にした。脆弱性の有無の確認。

SQL Injection(SQLインジェクション:SQLの挿入)

今回の学習のテーマは、SQL Injection(SQLインジェクション:SQLの挿入)です。 復習&理解を深めます。こちらを参考に学習。 うーん@ITはすばらしい情報ばかりだ。 ○SQLインジェクションとは?Webサイトを構成する要素の1つにデータベースがある。Webアプ…

Path Traversal(パスの乗り越え)

復習&理解を深めます。コチラを参考にした。Path Traversal(パスの乗り越え): アプリケーションに渡されるパラメータを基にファイルの読み込みをしている場合に、この危険がある。たとえば、 open FILE, "[変数].html";というプログラムで動的に、ページ…

Forceful Browsing(強制的ブラウズ)

復習&理解を深めます。こちらを参考に記述。Forceful Browsing(強制的ブラウズ)とは、 手法としてはとても単純で、「ブラウザにURLを入力する」というだけだ。でも、あなどってはいけない。たとえば、データをためるのにCSVを利用していて、CSVファイルが…

XSS対策

今、PHPであるアプリを作っていて、セキュリティを固めている途中。 今回は、XSSがテーマ。SQLインジェクションもあとでやります。XSSは一応知っていたけど、復習&実践&メモ。こちらと こちらと こちらを参考にした。とりあえず、実践。 <script>alert("XSS");</script>↑を…

PHP バッファオーバーフロー

今、PHPであるアプリを作っていて、セキュリティを固めている途中。 今回は、バッファオーバーフローがテーマ。XSSとかSQLインジェクションもあとでやります。 復習&理解を深めます。今回のアプリを設置するサーバーには、PHP4.4.1 がインストールされている…

コマンド・インジェクション恐るべし

今、PHPであるアプリを作っていて、セキュリティを固めている途中。 今回は、コマンド・インジェクションがテーマ。XSSとかSQLインジェクションもあとでやります。コマンド・インジェクションは一応知っていたけど、復習&実践&メモ。 こちらを参考にしたコ…