Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから

ブログ

2013年11月28日
ModSecurity (WAF) を導入して分かること

ModSecurity という WAF (Web Application Firewall) を導入したのですが、ログを監視していると Web サーバーは常に攻撃にさらされているということが改めて分かります。 ModSecurity で有効にしたのは、クロスサイトスクリプティングと SQL インジェクションの防御のみです。ですが、こんなマイナーなサイトでも攻撃を受けていて、 403 でリクエ...
>>続きを読む

2013年7月13日
.NET の SQL インジェクション対策に LINQ を追加しました

.NET の SQL インジェクション対策に LINQ を追加しました。 SQLインジェクション対策(ASP.NET,C#,VB.NET編) 本当は、Entity Framework で LINQ to Entities を使用することに統一したかったのですが、C# は問題なかったのですが、VB.NET で原因不明のエラーを解消することができませんでした。そのため、VB.NET は L...
>>続きを読む

2013年5月2日
JINS セキュリティ事故報告に見る責任のあり方

JINS オンラインショップのセキュリティ事故に関する最終報告が、JINS のサイトに掲載されました。 不正アクセス(JINSオンラインショップ)に関する調査結果(最終報告) 今回の、JINS オンラインショップにおけるセキュリティ事故において、JINS が行った対応は、今後、企業がとるべき対応の手本になりうるものです。 具体的には、JINS は以下の対応を行いました。 ...
>>続きを読む

2013年3月21日
Web アプリケーションセキュリティのコンテンツが完成しました

大分時間がかかりましたが、Webアプリケーションセキュリティのコンテンツが完成しました。 Webアプリケーションセキュリティ Web アプリケーションセキュリティでは、以下の内容を分かりやすく解説しています。 Webアプリケーションセキュリティの基本 HTTP の仕組み パスワードの管理 脆弱性と対処方法 脆弱性対策は、Java, ASP.NET(C#,VB.NET), PHP のサ...
>>続きを読む