Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから

ブログ

2014年6月22日
正しいリダイレクトの解説記事がよい感じ

これなら合格! 正しいリダイレクターの作り方 (1/3) - @IT Web アプリケーションであれば、ログイン後などでリダイレクトの処理を行うことがよくあります。しかし、リダイレクト処理の実装方法を誤ると、オープンリダイレクターという脆弱性を組み込んでしまいます。 オープンリダイレクターの脆弱性とは、記事によると以下のような定義になります。 オープンリダイレクターとは、あるURLを開くと自動的...
>>続きを読む

2014年3月26日
日本ベリサインの社名変更に思うこと

日本ベリサイン、「シマンテック・ウェブサイトセキュリティ」に社名変更 - ITmedia ニュース 昨日のびっくりニュースといえば、日本ベリサインが社名変更をして、「シマンテック・ウェブサイトセキュリティ」になってしまうことですね。 社名変更だけかと思っていたのですが、記事を読むと、SSL サーバー証明書もシマンテックに変わってしまうようですね。 4月29日から5月初旬にかけ、シマンテックSSL...
>>続きを読む

2014年3月11日
IPA がオープンソースのソースコード脆弱性検査ツールの紹介資料を公開しました

IPAテクニカルウォッチ「ウェブサイトにおける脆弱性検査手法の紹介(ソースコード検査編)」:IPA 独立行政法人 情報処理推進機構 IPA がオープンソースのソースコード脆弱性検査ツールの紹介資料を公開しました。 商用のソースコード脆弱性検査ツールで有名なものに、Fortify がありますが、お値段がかなりするので、試しに導入してみようとするのは、かなり難しいものがあります。 その点、若干の性能の...
>>続きを読む

2014年2月24日
ModSecurity のルールを全て適用したら 404 エラーが減って 403 エラーが激増した

このサイトは、ModSecurity を導入していましたが、実際に攻撃を防御するためのルールを、影響度の大きい基本ルール、SQL インジェクション、クロスサイトスクリプティングに限定していました。 これは、全てのルールを適用してしまうと偽陽性の発生確率が高まり、運用に支障が出るのを回避するためでした。もともとこの発想は、IPA が公開している以下の資料を元にしていました。Web サイトを運営...
>>続きを読む