[B! セキュリティ][プログラミング] hogegeのブックマーク

hogege id:hogege

セキュリティとプログラミングに関するhogegeのブックマーク (22)

HTML5のLocal Storageを使ってはいけない（翻訳）｜TechRacho by BPS株式会社
概要原著者の許諾を得て翻訳・公開いたします。英語記事: Randall Degges - Please Stop Using Local Storage 原文公開日: 2018/01/26 著者: Randall Degges 日本語タイトルは内容に即したものにしました。画像は元記事からの引用です。初版公開: 2019/10/19 追記更新: 2024/04/05 -- リンク情報を記事末尾に移動しました本気で申し上げます。local storageを使わないでください。 local storageにセッション情報を保存する開発者がこれほど多い理由について、私にはさっぱり見当がつきません。しかしどんな理由であれ、その手法は地上から消えてなくなってもらう必要がありますが、明らかに手に負えなくなりつつあります。私は毎日のように、重要なユーザー情報をlocal storageに保存す
hogege 2019/10/10
φ(..)ﾒﾓﾒﾓ

プログラミング

開発

セキュリティ

security
リンク
Code4Sec | LinkedIn
Aceite e cadastre-se no LinkedIn Ao clicar em Continuar para se cadastrar ou entrar, você aceita o Contrato do Usuário, a Política de Privacidade e a Política de Cookies do LinkedIn.
hogege 2015/12/17
一応φ(･_･

あとで読む

security

セキュリティ

開発

プログラミング

php
リンク
「10日でおぼえるPHP入門教室第4版」はセキュリティ面で高評価
弊社本社の麻布十番移転に伴い、本社近くの麻布図書館を利用しています。麻布図書館は土地柄のイメージにあう瀟洒な建物で、蔵書がない場合は港区の他の図書館から取り寄せ︵無料です︶ができますので、よく利用しています。今回は、山田祥寛さんの﹁10日でおぼえるPHP入門教室第4版﹂を借りて読んでみました。一読して、本書がセキュリティにもよく配慮されていることがわかりましたので、以下にご紹介したいと思います。クロスサイトスクリプティング(XSS) 表示の際にHTMLエスケープするという原則を忠実に守っています。そのため、下記の e() という関数を定義して呼び出しています。 function e($str, $charset = 'UTF-8') { return htmlspecialchars($str, ENT_QUOTES, $charset); } その他にもXSS対策として重要な下記の
hogege 2015/04/24
画像使ったXSS知らなかった(>_<)

開発

プログラミング

security

セキュリティ
リンク
プレス発表　「安全なウェブサイトの作り方改訂第7版」を公開：IPA 独立行政法人情報処理推進機構
IPA（独立行政法人情報処理推進機構、理事長：藤江一正）は、ウェブサイトの開発者や運営者向けの「安全なウェブサイトの作り方」にパスワードリスト攻撃への悪用防止対策等を新たに追加した改訂第7版を2015年3月12日（木）からIPAのウェブサイトで公開しました。 URL：https://www.ipa.go.jp/security/vuln/websecurity.html IPAでは、必要な技術的配慮が不足していたために起こるウェブサイトの情報漏えいや改ざん等、意図しない被害を防ぐため「安全なウェブサイトの作り方」を2006年から発行しており、これまでに6版を数えています。その内容には、IPAへの届出件数が多く攻撃による影響度が大きいソフトウェア製品やウェブアプリケーションに関する脆弱性関連情報を取り上げ、適切なセキュリティが考慮されたウェブサイト作成のためのポイントをまとめています。 7版
hogege 2015/03/12
φ(･_･

開発

プログラミング

security

セキュリティ

メモ
リンク
ブラウザ上でMarkdownを安全に展開する - 葉っぱ日記
不特定のユーザーが入力したMarkdownをブラウザ上でJavaScriptを使ってHTMLに変換するという場面においては、JavaScriptで変換してHTMLを生成するという処理の都合上どうしてもDOM-based XSSの発生を考えないわけにはいかない。かといって、MarkdownをパースしHTMLを生成するという処理すべてをXSSが存在しないように注意しながら自分で書くのも大変だし、markedやmarkdown-jsなどの既存の変換用のJSを持ってきてもそれらがXSSしないかを確認するのは結構大変だったりする。そういった場合には、Markdownから生成されたHTMLをRickDOMを通すことで、万が一HTML内にJavaScriptが含まれていたとしてもそれらを除外し、許可された要素、許可された属性だけで構築された安全なHTMLに再構築することができる。さらに、そうやって生成
hogege 2015/02/06
メモ

開発

プログラミング

ツール

security

セキュリティ

JavaScript
リンク
ファイアウォール内のサーバに対するShellshockを利用した攻撃 - 葉っぱ日記
2014-09-27: 該当サイト上にXSSがなくても攻撃可能であることが id:mayuki さんのコメントで判明しましたので全面的に書き直しました。ファイアウォール内であっても攻撃者はファイアウォール内のShellshock攻撃が通用するCGIのURLがわかっているだけで攻撃可能ですので早急に対応が必要です！会社のブログにも書いてますが、ファイアウォール内に置いてあるサーバで攻撃者が直接アクセスできないからといってbashの更新を怠っていると、条件によっては攻撃が可能となります。条件としては、そのサーバにはシェルを経由して外部コマンドを起動するCGI等が動いている(通常のShellshockの攻撃と同条件) 攻撃者がそのURLを事前に知っている(あるいは推測可能) となります。攻撃者は、ユーザーを罠URLへ誘導し、以下のようなJavaScriptを罠ページ上で動かし、攻撃対象のW
hogege 2014/09/26
今頭廻らんから後で検証する(>_<)

開発

プログラミング

security

セキュリティ

JavaScript

アーキテクチャ
リンク
れいさの本当に目が覚めるPHP - Togetterまとめ
全てのリンク先で肝が冷えます。 PHPerの早朝のネタトークが思いの外インパクトがあったのでまとめただけです。 PHPや利用者がどうこうという文脈ではありません。 ※タイトル変更しました。
hogege 2014/06/13
((((；ﾟДﾟ))))ガクブル

開発

プログラミング

security

セキュリティ

なんじゃこりゃ
リンク
セキュリティ診断・検査のGMOサイバーセキュリティ byイエラエ
GMOサイバーセキュリティ byイエラエ株式会社は国内トップクラスのホワイトハッカーが多数在籍するサイバーセキュリティの会社です。攻撃手法に関する豊富な知識と最先端の技術を持つホワイトハッカーが仮想敵となり、お客様の抱えるセキュリティ上の問題の可視化と課題解決をサポートします。「誰もが犠牲にならない社会を創る」をミッションとして掲げ、デジタルネイティブの時代を生きるすべての人が安全に暮らせるインターネット社会創りに貢献します。
hogege 2014/06/06
NSA:Heartbleedは使ってないよ！ …もしかして「こっちを使ってたんだよ！」だったりして(･ω･)

ニュース

セキュリティ

security

プログラミング

読み物
リンク
とある診断員とSQLインジェクション
なぜ自社でWebアプリケーション脆弱性診断を行うべきなのか。自動と手動の脆弱性診断のやり方、自社でやる意義、予算のかけ方などを紹介しています。参考文献はこちら：Webセキュリティ担当者のための脆弱性診断スタートガイド上野宣が教える情報漏えいを防ぐ技術 http://www.shoeisha.co.jp/book/detail/9784798145624 2017年2月6日
hogege 2014/05/30
security

セキュリティ

プログラミング

開発

あとで読む
リンク
脆弱性の見つけ方（初心者向け脆弱性検査入門）
WEB系の情報セキュリティ関連の学習メモです。メモなので他情報のポインタだけ、とかの卑怯な記事もあります。 ※2020.9 注記:本ブログの解説記事は内容が古くなっております。OWASP ZAPなどのソフトウェアの解説は現行バージョンの仕様から乖離している可能性があります。 EC-CUBEで脆弱性を見つけたり、mixiの脆弱性報告制度で成果を挙げたりしたせいか、﹁どうやって脆弱性を見つけてるんですか？﹂という質問をされることが時折あり、一応手順は説明するのですが、いつも口頭で細かくは説明できなくて申し訳ないので、自分のやり方をまとめてこのブログにアップしておきます。標準的な脆弱性検査のやり方しか説明していないので、脆弱性検査のやり方を既に把握している人が読んでも得るものは少ないのではないかと思います。今回は脆弱性検査に興味があるが何をどうしたらいいか分からないような初心者向けコンテンツで
hogege 2014/05/29
プログラミング

開発

security

セキュリティ
リンク
Strutsの脆弱性CVE-2014-0094について改めてまとめてみた - piyolog
Struts2においてクラスローダーの操作を許してしまう脆弱性(CVE-2014-0094)について先日調べたのですが、その後のセキュリティベンダの調査により当初に比べて影響範囲が変わってきていることから、再度整理をかねてまとめます。尚、これら情報はpiyokangoが全て検証したわけではないためご注意ください。また当然ながら悪用することは厳禁です。 Apache Software Foundationより、当該脆弱性情報に関するアナウンスが出ました。 24 April 2014 - Struts up to 2.3.16.1: Zero-Day ExploitMitigation S2-021 クラスローダーが操作される脆弱性の影響範囲 NTT-CERTやMBSD、LACの調査により次のStrutsのバージョンが影響を受けることが判明しています。またBeanUtilsを使ってリクエスト
hogege 2014/04/25
φ(.. )

開発

プログラミング

security

セキュリティ
リンク
S2-020類似攻撃のStruts1での対策方法 - Qiita
恐ろしいことですが、実装が全然違うStruts2の脆弱性S2-020と同様の攻撃手法で、Struts1も脆弱性があることが分かりました。 http://www.lac.co.jp/security/alert/2014/04/24_alert_01.html ここではあまり明らかになっていませんが、原因は // Set the corresponding properties of our bean try { BeanUtils.populate(bean, properties); } catch(Exception e) { throw new ServletException("BeanUtils.populate", e); } finally { if (multipartHandler != null) { // Set the multipart request handl
hogege 2014/04/25
φ(.. )

プログラミング

開発

セキュリティ

security
リンク
Heartbleedバグのコードを解説 - Qiita
今回バグってたのはheartbeat extension という機能の実装。 RFCはこちら https://tools.ietf.org/html/rfc6520 Heartbleedバグに対する修正コミット http://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=96db9023b881d7cd9f379b0c154650d6c108e9a3 バグ解説 4. Heartbeat Request and Response Messages The Heartbeat protocol messages consist of their type and an arbitrary payload and padding. struct { HeartbeatMessageType type; uint16 payload_length
hogege 2014/04/12
あとで読む

プログラミング

セキュリティ

security
リンク
PHP+PDO+MySQLの組み合わせではSQLインジェクション攻撃で複文呼び出しが可能
基礎からのPHPという書籍を読んでおりましたら、SQLインジェクションの攻撃例として、以下のSQL文ができあがる例が紹介されていました。PHP+PDO+MySQLという組み合わせです。 SELECT * FROM tb2 WHERE ban=1;delete from tb2 2つのSQL文がセミコロンで区切って1つにまとめられていますが、これを﹁複文(multiple statement)﹂と言います。私は、SQLインジェクション攻撃の文脈で複文が使える組み合わせを調べたことがあり、PHPとMySQLという組み合わせでは、複文は使えないと思っていましたので、この攻撃は成立しないのではないかと思いました。しかし、決めつけも良くないと思い手元の環境で動かしてみたところ、あっさり動くではありませんか。 PDOを用いてMySQLを呼び出す場合は複文が実行できると気づきましたが、なぜPDOの場合
hogege 2013/12/16
「PDO::setAttribute(PDO::ATTR_EMULATE_PREPARES, false);により複文の実行も予防できる」

メモ

開発

プログラミング

security

セキュリティ
リンク
UTF-8.jp
- WinMirror - 任意のアプリケーションのウィンドウやデスクトップをミラーリングして表示できます。解説: オンサイトでの登壇で返しのモニターがなくてもデモをやりやすくするツールを作った - SSTエンジニアブログ - 音声字幕機能付きのWebカメラ - Web Audio APIを使ってマイク入力をスピーカーから出力 - LTタイマー - JavaScript セキュリティの基礎知識：連載｜gihyo.jp … 技術評論社 - HTML5時代の「新しいセキュリティ・エチケット」－ @IT - 教科書に載らないWebアプリケーションセキュリティ－＠IT - 連載：本当は怖い文字コードの話｜gihyo.jp … 技術評論社 - JSF*ck - encode JavaScript with only 6 letters - []()!+ (broken) JSF*ck demo
hogege 2013/12/05
メモ

security

セキュリティ

開発

プログラミング
リンク
「演算子のインジェクション」と「SSJI」
﹁演算子のインジェクション﹂と﹁SSJI﹂‥NoSQLを使うなら知っておきたいセキュリティの話︵1︶︵1/2 ページ︶ここ数年、大量データ処理時の高速性やデータ構造の柔軟性などから、﹁NoSQL﹂が注目を集めています。それと同時に、NoSQLを使うアプリケーションに対する攻撃手法も研究されるようになりました。この記事では、NoSQLを使ったアプリケーションの脆弱性と対策について解説します。注目集める﹁NoSQL﹂ここ数年、NoSQLと呼ばれる種類のデータベースが注目を集めています。NoSQLはSQL言語を使用しないデータベースの総称で、大量データ処理時の高速性やデータ構造の柔軟性などのメリットがあるため、従来のリレーショナルデータベース︵RDB︶を補完・代替するものとして、大規模なWebアプリケーションなどにおいてNoSQLを採用する事例が増えています。このような新しい技術が普及し
hogege 2013/05/23
NoSQLのインジェクション

開発

プログラミング

security

セキュリティ
リンク
自己流のSQLインジェクション対策は危険
HTMLエスケープの対象となる < > & " の4文字は、文字実体参照に変換された後、preg_replace関数でセミコロンを削除してしまうので、中途半端な妙な文字化けになりそうです。一般的な原則としては、データベースにはHTMLの形ではなくプレーンテキストの形で保存しておき、HTMLとして表示する直前にHTMLエスケープする方法で統一することで、上記のような文字化けやエスケープ漏れをなくすことがよいでしょう。脆弱性はないのかこのsanitize関数に脆弱性はないでしょうか。上表のように、バックスラッシュ︵円記号︶を素通ししているので、MySQLや、設定によってはPostgreSQLの場合に、問題が生じそうです。以下、それを説明します。以下の説明では、MySQLを使う想定とします。以下のように、ログイン処理を想定したSQL文組立があったとします。 $sql = sprintf(
hogege 2013/02/24
開発

プログラミング

security

セキュリティ
リンク
SQLインジェクションについてのスライドを作成した - Kentaro Kuribayashi's blog
社内で、SQLインジェクションについてあらためて原理・原則から議論したいねという風潮がにわかに起こったので、ひとまずは叩き台として僕の方でまとめて皆で議論しましょうというわけで、以下のような資料を作成した。社内勉強会用の資料なのだけど、僕は別にセキュリティに詳しいわけでもないし、ましてやPHPのことは素人なので、外部の識者にレビューしていただいて、できるだけ正しい知識に基づいて議論できればと思い、まずスライドを先行公開することにした。そうしたところ、Twitter上で多数の識者よりいろいろとご指摘いただいて、少くとも決定的におかしな内容にはなっていないものになったようだ。ありがとうございます。僕らの職務のひとつに﹁セキュリティ関連﹂というものも謳われているので、そのあたりの知識普及・基盤整備についても、仕事のひとつとして行っている。先にも書いた通り、僕自身がその点についてよく理解できて
hogege 2012/10/03
開発

プログラミング

security

あとで読む

セキュリティ
リンク
Masato Kinugawa Security Blog: 「めんどうくさいWebセキュリティ」を頂いた
﹁めんどうくさいWebセキュリティ﹂、原著の﹁The Tangled Web﹂に僕の名前が掲載されているのをきっかけに、監修された上野さん(@sen_u)を通して、出版元である翔泳社様から献本して頂きました。ありがとうございます。こういう人にオススメです。・Webを隅々まで理解したい・セキュリティに絡んだ、細かなブラウザの動きに興味がある・自分の持っているブラウザ周辺のWebセキュリティ知識を確認したい逆にこれからWebセキュリティを学びたい・手っ取り早くWebセキュリティの知識をつけたいという人にはお勧めできません。踏み込んだ話ばかりなので、最初に手に取るには細かすぎると思います。(徳丸本をどうぞ！) この本では、URL/HTTP/HTMLなどのWebの構成要素を詳細に見ていくことで、ブラウザのセキュリティがどのように成り立っているかや、そこにどのようなセキュリティ問題が存在す
hogege 2012/07/18
メモ

開発

プログラミング

security

セキュリティ

読み物

BOOK
リンク
NTTコミュニケーションズオフィシャルサイト
事業共創プログラム　OPEN HUB for Smart World 未来をひらく「コンセプトと社会実装」の実験場 OPEN HUB for Smart Worldは、社会課題を解決し、わたしたちが豊かで幸せになる未来を実現するための新たなコンセプトを創り、社会実装を目指す事業共創の場です
hogege 2012/05/23
cookieの取り扱い。気をつけねば。

メモ

プログラミング

開発

security

セキュリティ

あとで読む
リンク
1 2 次のページ