『 SQLInjection 』
こんにちは satoです WEBサービスは作るよりも運用の方がコストがかかるとも言われています。 運用を極力自動化して、コストを減らしたいものです。 ここではウノウで使っているツール類を紹介したいと思います。 1) 疎通、生存監視 webの生存監視などは nagiosを使って監視しています。 nagiosには - いつ(土日を除く、10時~22時までの間で など) - どのタイミングで(N回連続で ,復...
こんにちは! やまもと@テスト番長です。 先日マサトさんに教えてもらったのですが、 こんなウェブアプリケーション用のチェックシートがあるそうです。 SECGURU: Web Application Testing cheatsheet なかなか面白いので、軽く日本語にしてみました。(Special thanks to: ジュンヤさん) ※間違ってたらごめんなさい。 1. アプリケーション名とバージョン 2. コンポーネント名 3. 通信プロト...
最近PostgreSQL、MySQL両方にSJISエンコーディングを利用している際のエスケープ方法の問題を修正がリリースされています。この件は単純に「データベースシステムにセキュリティ上の脆弱性があった」と言う問題ではなく「アプリケーションの作り方を変える必要性」を提起した問題です。 PostgreSQL、MySQLの脆弱性は特にSJIS等、マルチバイト文字に\が含まれる文字エンコーディング...
最近よく見かけるシステムで、MySQLに対応した星型レビューボタンの設置方法です。 サンプルデモ ダウンロード方法の英語は以下に。 Star Rater Ajax VersionSo, I found this great star rater script made in css. But I missed the web 2.0 stuff. So i played arround with it so it would work on a database without having to refresh any pages (but updating the database with AJAX). In this version i use it for rating a image (with unique id = imgId). 興味のある...
『 PHPのソースコードをチェックして脆弱性を検出するウェブサービス。単純なデータフロー解析しか指定無い様子ですが、単純なミスを防ぐことには使えるようです。 』
これからLinuxを一から学びたい方、スキルアップしたい方、LPICに合格したい方はぜひご登録してみてください …
Chorizo! Secure your webapplications on the fly!Webアプリケーションセ...
Webアプリケーションの脆弱性のほとんどは、開発時のささいなミスから生じる。Webアプリケーションの攻撃から保護するには、専門家によるペネトレーションテストが有効だ。 最近、Webアプリケーションに存在するセキュリティホールが注目を浴びている。Webサーバのセキュリティ対策というと、一般にファイアウォール、IDS(不正侵入検知システム)、ウイルス対策などがよく...
いったい何人の人がSQLインジェクションに対して興味があるのかが気になるところですが、今回はSQLインジェクションに対する対策スキャナのご紹介です。 Top 15 free SQL Injection Scanners SQLインジェクションとは、アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃...
Mac OS Xで自宅サーバを立ち上げるための備忘録です。Mac OS Xをインストールすれば標準でApacheが入っていますので、かなり簡単にウェブサーバを立ち上げることができます。後は、PHPやMySQL、バーチャルドメインの運用などを行ってみたいと思っています。 とりあえずPHP、MySQLの動作は確認できました(所要時間約2時間)。 ▼超簡単 Mac OS XのローカルでCGI (SSIもPHPも) PHPの起動方法です...
ショッピングサイトのように多くの個人情報を扱うWebサイトを運営しているのであれば、Webアプリケーションの脆弱性について早急に対策を取るべきだ。Webアプリケーションの安全性を高めるために考えられる対策として5つの方法を提案したい。 2006年02月02日 10時45分 更新 Webアプリケーションと個人情報 多くの個人情報を扱うWebアプリケーションの1つに、ショッピングサイトが...
SQLインジェクションを利用したWebサイトの改ざん事件が頻発している。標的となったサイトの多くがIIS(ASP)とSQL Serverの組み合わせを利用していることから、今回の攻撃がIISやSQL Serverの脆弱性を利用したものだと言う報道があるらしい。 これに対して、マイクロソフトが反論している。 「SQLインジェクション攻撃とIISは無関係」とMicrosoft しかしMicrosoftはセキュリティ対策センタ...
『 こういうことをAutoでやってくれる、PHPUnit3を書くと、すげぇことになるかも。 』
昨今、Web サーバー上のコンテンツが不正に改ざんされ、改ざんされたコンテンツを閲覧した利用者がマルウェア感染等の二次的な被害を受ける事案が継続的に発生しています。この攻撃は、Web サーバーを狙ったものではなく、Web サーバー上で動作する、お客様が開発または導入した Web アプリケーションを狙って行われており、"SQL インジェクション攻撃"と呼ばれています。SQL ...
情報処理推進機構(IPA)は18日、WebサーバーのアクセスログからSQLインジェクション攻撃を検出するツール「iLogScanner」を公開した。IPAのサイトから無料でダウンロードできる。対応OSはWindows XP/2000で、実行にはJava Runtime Environment 5.0以上が必要。 iLogScannerは、Webサーバーのアクセスログの中から、SQLインジェクション攻撃によく用いられる文字列を検出するツール。攻撃の総件...
del.icio.us/tag/del.icio.usを眺めていたらFlickrのときみたいに面白い資料を見つけたの紹介します。 Things to look out for when building a large application.というタイトルでサーバーサイドの管理等の話が中心かと思って読んでいたらそれ以外のインターフェース、実装すべき機能、spam対策、アプリケーションを如何に広めるかといった話にも触れていて面白いです。 以下にまとめてみました。 ス...
攻撃者に役立つ情報を与えないために、不要なエラーメッセージ(データベースが出力するエラーなど)の表示を抑止 対策に「準備された文」(prepared statement) のことを書かないのは、どういうつもりなわけ? 「入力値をエスケープ」だあ? いまだにサニタイズ脳から抜けられないのかね君は。「サニタイズ」って書かなきゃいいってもんじゃない。言っていることはサニタイズ...
『 従前は、ソフトウェア開発工程における下流の工程において、セキュリティ脆弱性が発見され、それらについて対処されることが多かった。 しかし、作り込まれた脆弱性によっては、容易 』
PostgresForestは,複数台のPostgreSQLサーバーを仮想的に1つに統合し,並列分散動作させるソフトウエアである。同ソフトを導入することで,PostgreSQLで構築したデータベース・サーバーの可用性や拡張性を向上できる。 この数年間でLinuxを中心としたオープンソース・ソフトウエア(OSS)は,目覚しい発展を遂げている。特に,Webサーバーに「Apache HTTP Server」,アプリケーション・サ...
