Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら RSSフィードのご登録はこちらから

ブログ

2020年8月23日
クロスサイトスクリプティング(XSS)の脆弱性があると簡単にアカウントを乗っ取れるよ!

はじめに 先日は、SQLインジェクションの具体例を見てその怖さを知っていただいたと思いますが、今回はクロスサイトスクリプティング(XSS)の脆弱性がある場合に、アカウト(セッション)が簡単に乗っ取られることを例示します。先日の記事は以下を参照してください。[blogcard url="https://www.websec-room.com/2020/08/19/3601"] ...
>>続きを読む

2020年8月19日
SQLインジェクションの具体例を知って怖さを実感しよう

はじめに SQLインジェクションという脆弱性は危険だとよく言われますが、具体的にどのような怖さがあるのかは具体例を見ないと実感できないと思います。この記事では、「箱庭BadStore.net」という脆弱性が組み込まれたWebアプリケーションに対して、実際にSQLインジェクションの脆弱性を攻撃し、アカウント情報を漏洩させ管理者としてログインする例をご紹介します。箱庭BadStore...
>>続きを読む

2020年8月14日
「Webシステム/Webアプリケーションセキュリティ要件書」は発注時の必須ドキュメント

OWASP の脆弱性診断士スキルマッププロジェクトというページにて、「Webシステム/Webアプリケーションセキュリティ要件書」なるものが公開されています。[blogcard url="https://wiki.owasp.org/index.php/Pentester_Skillmap_Project_JP"]ドキュメントのフォーマットは、Word と PDF になります。 ...
>>続きを読む

2020年8月10日
アカウントロック機能の実装例(PHP編)

はじめに インターネットに Web アプリケーションを公開すると、ログイン認証を突破しようと、あらゆるところから攻撃を受けてしまいます。ユーザーIDやメールアドレスと、パスワードの組み合わせを総当りで試すブルートフォース攻撃という攻撃がありますが、何の対策も取らないとログイン認証が突破されてしまいます。このブルートフォース攻撃に対する対策が、ログイン認証にアカウントロック機能を追...
>>続きを読む

2020年8月8日
僕が考える最強のWordPressセキュリティ対策

はじめに WordPress でブログなりサイトを立ち上げるのは簡単になりましたが、セキュリティ対策となると後回しになることもあるのではないでしょうか。セキュリティ対策は、売上が発生するものではありませんし、後手になることもありますが、インターネットの現状ではセキュリティは最優先すべきとのとの危機感を持っています。この記事は、WordPress のセキュリティ対策で必須かつ最強と...
>>続きを読む