JSON のセキュリティ対策は、以下の記事に記載した通りですが、これを ASP.NET で実現するにはどうしたらよいでしょうか。この記事では、JSON セキュリティ対策のサンプルプログラムを提示します。
JSON セキュリティ対策
ASP.NET で JSON データを返す Web サービスを作成するには、.NET Framework 3.0 から提供されている WCF(...
>>続きを読む
JSON 概要
JSON (JavaScript Object Notation) とは、JavaScript で記述されたデータフォーマットであり、JavaScript で簡単に操作できることが特徴です。
JSON の記述形式は以下のようになります。"名前":"値" の形式となり、値が複数ある場合はカンマでつなぎ、全体を{}(中括弧)で囲みます。
[crayon-5e8f3ca8dba...
>>続きを読む
メールヘッダー・インジェクションとは
メールヘッダー・インジェクションとは、問い合わせフォームなどのメールを送信する画面で、メールの内容を改ざんし、迷惑メールの送信などに悪用されてしまう脆弱性のことです。
メールの宛先に改行コードを挿入することで、新しいメールヘッダーを追加し、本来の宛先以外にメールを送信したり、メールの内容を改ざんしたりします。
メールヘッダー・インジェクション...
>>続きを読む
HTTP ヘッダー・インジェクションとは
HTTP ヘッダーインジェクションとは、リダイレクト先を指定する Location ヘッダーなどに改行コードを含めることにより、以下のようなことを行える脆弱性です。
任意のレスポンスヘッダーの追加
レスポンスボディの偽造
これにより、クロスサイト・スクリプティングと同様の被害が起きます。
偽ページの表示
Cookie...
>>続きを読む
ディレクトリ・トラバーサルの対策は以下の記事を参照してください。
ディレクトリ・トラバーサルと対策
この一部を PHP で実現すると以下のようになります。
根本的対策
■ファイルを開く場合は、固定ディレクトリ+ファイル名にする
basename 関数を利用してファイル名を取得後、ディレクトリと結合してパスを作成します。
[crayon-5e8f3ca8dbc8a11...
>>続きを読む