クロスサイトスクリプティング(XSS)の脆弱性があると簡単にアカウントを乗っ取れるよ!
はじめに 先日は、SQLインジェクションの具体例を見てその怖さを知っていただいたと思いますが、今回はクロスサイトスクリプティング(XSS)の脆弱性がある場合に、アカウト(セッション)が簡単に乗っ取られることを例示します。先日の記事は以下を参照してください。[blogcard url="https://www.websec-room.com/2020/08/19/3601"] ...
>>続きを読む
ブログ
クロスサイトスクリプティング(XSS)の脆弱性があると簡単にアカウントを乗っ取れるよ!
SQLインジェクションの具体例を知って怖さを実感しよう
はじめに SQLインジェクションという脆弱性は危険だとよく言われますが、具体的にどのような怖さがあるのかは具体例を見ないと実感できないと思います。この記事では、「箱庭BadStore.net」という脆弱性が組み込まれたWebアプリケーションに対して、実際にSQLインジェクションの脆弱性を攻撃し、アカウント情報を漏洩させ管理者としてログインする例をご紹介します。箱庭BadStore...
>>続きを読む
「Webシステム/Webアプリケーションセキュリティ要件書」は発注時の必須ドキュメント
OWASP の脆弱性診断士スキルマッププロジェクトというページにて、「Webシステム/Webアプリケーションセキュリティ要件書」なるものが公開されています。[blogcard url="https://wiki.owasp.org/index.php/Pentester_Skillmap_Project_JP"]ドキュメントのフォーマットは、Word と PDF になります。 ...
>>続きを読む
アカウントロック機能の実装例(PHP編)
はじめに インターネットに Web アプリケーションを公開すると、ログイン認証を突破しようと、あらゆるところから攻撃を受けてしまいます。ユーザーIDやメールアドレスと、パスワードの組み合わせを総当りで試すブルートフォース攻撃という攻撃がありますが、何の対策も取らないとログイン認証が突破されてしまいます。このブルートフォース攻撃に対する対策が、ログイン認証にアカウントロック機能を追...
>>続きを読む
僕が考える最強のWordPressセキュリティ対策
はじめに WordPress でブログなりサイトを立ち上げるのは簡単になりましたが、セキュリティ対策となると後回しになることもあるのではないでしょうか。セキュリティ対策は、売上が発生するものではありませんし、後手になることもありますが、インターネットの現状ではセキュリティは最優先すべきとのとの危機感を持っています。この記事は、WordPress のセキュリティ対策で必須かつ最強と...
>>続きを読む