『 OSSiPedia(オーエスエスアイペディア)は、OSS関連情報データベースです。OSSの利用促進を進めることを目的とし、OSSの活用事例、技術情報、またオープンソースに関する基本的な知識を整 』
◆ご注意: 弊社は、いかなる場合もこの情報の使用や配布で生じる直接及び間接を問わず生じる損害について責任を負いません。また本セキュアDBマトリクスに記載されている情報は予告なしに変更されることがあります。許可を得ずに、本セキュアDBマトリクスの転載・配布することを一切禁止いたします。 この文書の内容についてのお問い合わせはこちら(information@lac.co.jp)...
こんにちは! やまもと@テスト番長です。 先日マサトさんに教えてもらったのですが、 こんなウェブアプリケーション用のチェックシートがあるそうです。 SECGURU: Web Application Testing cheatsheet なかなか面白いので、軽く日本語にしてみました。(Special thanks to: ジュンヤさん) ※間違ってたらごめんなさい。 1. アプリケーション名とバージョン 2. コンポーネント名 3. 通信プロト...
『 PHPのソースコードをチェックして脆弱性を検出するウェブサービス。単純なデータフロー解析しか指定無い様子ですが、単純なミスを防ぐことには使えるようです。 』
『 こういうことをAutoでやってくれる、PHPUnit3を書くと、すげぇことになるかも。 』
『 SQLインジェクションの方法についての例が書かれており、SQLインジェクション対策に使えます。 』
『 Railsのセキュリティ、気をつけるところとか。 』
del.icio.us/tag/del.icio.usを眺めていたらFlickrのときみたいに面白い資料を見つけたの紹介します。 Things to look out for when building a large application.というタイトルでサーバーサイドの管理等の話が中心かと思って読んでいたらそれ以外のインターフェース、実装すべき機能、spam対策、アプリケーションを如何に広めるかといった話にも触れていて面白いです。 以下にまとめてみました。 ス...
『 apachecentosfedorafedoracorefedoracoreinstalllinuxserverお役立ちサーバサーバーサーバ構築技術自宅サーバ 』
ここまでの連載で、PHPがデザイナにとっても決して難しいものではなく、むしろ便利に使えるものであることを紹介した。少しでも恐怖感やアレルギー感がなくなっていただけると幸いである。 ただし、あまり身近に感じすぎてしまうのも逆に危険が伴う。 スクリプトは、ご存じの通り何でも作ることができてしまうため、Webサーバーに大きな負担をかけたり、場合によっ...
データベース等のソフトウェアは一般に、停電やOSのクラッシュ時にデータが破壊されないよう、HDD へデータ保存が完了したか確認しながら処理を行うようになっています。その目的を果たすためにどのような API が OS によって提供されているか、少し勉強し直すことにしました。 下表のうち、赤い部分がデータの永続性が保証されない危険な手法、青い部分が安全な手法で...
『 従前は、ソフトウェア開発工程における下流の工程において、セキュリティ脆弱性が発見され、それらについて対処されることが多かった。 しかし、作り込まれた脆弱性によっては、容易 』
ここのところ、いくつかのSQL Injectionツールについて調べていました。今日はその結果を日記に書いてみようと思います。はじめにSQL InjectionツールとはSQL Injection脆弱性の発見と、発見した脆弱性を突いてのDB内情報の取得を行なうためのツールです。ただし、多くのツールでは「脆弱性の発見」はおまけで、後者のDB内情報の取得に主眼を置いています。一般的には、汎用のWeb脆弱...
「会員制ログイン機能」を搭載しようと思うとなかなか骨が折れます。で、そういった面倒な部分のみを提供し、簡単に実現できるのがこの「PHPLogin」というスクリプト。既存のスクリプトなどにすこし追記するだけで使用可能です。 実現できる機能としては、会員のログイン率のグラフ化、ユーザーのグループ化、メールの一斉配信、フォームの入力チェック、オンラインかオ...
