」というトラックバックを頂いた。訪れてみると、オープンソースプロジェクトとして開発されている、「SQS SourceEditor」と「SQS MarkReader」というJavaアプリケーションが、Java Web Startの仕組みで配布されていた*1。 配布されている「SQS SourceEditor」を起動しようとすると、図1の警告画面が現れる。 図1: オレオレ証明書で署名されたJavaアプリケーション 「このコードをインストールお...
Webアプリケーションの脆弱性のほとんどは、開発時のささいなミスから生じる。Webアプリケーションの攻撃から保護するには、専門家によるペネトレーションテストが有効だ。 最近、Webアプリケーションに存在するセキュリティホールが注目を浴びている。Webサーバのセキュリティ対策というと、一般にファイアウォール、IDS(不正侵入検知システム)、ウイルス対策などがよく...
昨今、Web サーバー上のコンテンツが不正に改ざんされ、改ざんされたコンテンツを閲覧した利用者がマルウェア感染等の二次的な被害を受ける事案が継続的に発生しています。この攻撃は、Web サーバーを狙ったものではなく、Web サーバー上で動作する、お客様が開発または導入した Web アプリケーションを狙って行われており、"SQL インジェクション攻撃"と呼ばれています。SQL ...
独立行政法人 情報処理推進機構(略称:IPA、理事長:西垣 浩司)は、ウェブサイトの脆弱性対策を促進するため、ウェブサーバのアクセスログの中からウェブサイトへの攻撃を解析し、ウェブサイトのSQLインジェクションの脆弱性を検出するツールを2008年4月18日(金)より公開しました。 (URL: http://www.ipa.go.jp/security/vuln/iLogScanner/ ) 概要 近年、ウェブサイトを狙ったSQLインジ...
Apache HTTPサーバーのセキュリティは、少なくともLinuxやその他の適切なUnix系オペレーティングシステムで実行している限りにおいては、信頼できます。しかし、今や平凡な静的な読み取り専用Webサイトは絶滅危惧種となりました。最近では、LAMPと呼ばれる一連の技術(つまりLinux、Apache/Lighttpd、MySQL/PostgreSQL/SQLite、Python/PHP/Perl/Ruby)を使って動的Webサイトを提供するのが一般的に...
『 従前は、ソフトウェア開発工程における下流の工程において、セキュリティ脆弱性が発見され、それらについて対処されることが多かった。 しかし、作り込まれた脆弱性によっては、容易 』
本記事では、セキュリティに対する課題を実体験していく。第2回となる今回は、いよいよ実際にテスト環境を構築し、攻撃を行う。標的となるのはWebシステムの開発で幅広く利用されている「PHP」だ。 PHP本体にはWebブラウザからの入力のデコード処理をはじめとして、Webシステム開発に必要不可欠な機能が組み込まれている。2008年1月3日に最後のPHP 4.x系のリリースとなる「PHP 4.4....
「会員制ログイン機能」を搭載しようと思うとなかなか骨が折れます。で、そういった面倒な部分のみを提供し、簡単に実現できるのがこの「PHPLogin」というスクリプト。既存のスクリプトなどにすこし追記するだけで使用可能です。 実現できる機能としては、会員のログイン率のグラフ化、ユーザーのグループ化、メールの一斉配信、フォームの入力チェック、オンラインかオ...
