Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから

Webアプリケーションセキュリティ

2013年7月29日
JSON セキュリティ:WCF で JSON.NET を使う

JSON のセキュリティ対策は、以下の記事に記載した通りですが、これを ASP.NET で実現するにはどうしたらよいでしょうか。この記事では、JSON セキュリティ対策のサンプルプログラムを提示します。 JSON セキュリティ対策 ASP.NET で JSON データを返す Web サービスを作成するには、.NET Framework 3.0 から提供されている WCF(...
>>続きを読む

2013年7月28日
JSON セキュリティ対策

JSON 概要 JSON (JavaScript Object Notation) とは、JavaScript で記述されたデータフォーマットであり、JavaScript で簡単に操作できることが特徴です。 JSON の記述形式は以下のようになります。"名前":"値" の形式となり、値が複数ある場合はカンマでつなぎ、全体を{}(中括弧)で囲みます。 [crayon-5dac099004e...
>>続きを読む

2013年3月21日
メールヘッダー・インジェクションと対策

メールヘッダー・インジェクションとは メールヘッダー・インジェクションとは、問い合わせフォームなどのメールを送信する画面で、メールの内容を改ざんし、迷惑メールの送信などに悪用されてしまう脆弱性のことです。 メールの宛先に改行コードを挿入することで、新しいメールヘッダーを追加し、本来の宛先以外にメールを送信したり、メールの内容を改ざんしたりします。 メールヘッダー・インジェクション...
>>続きを読む

2013年3月21日
HTTP ヘッダー・インジェクションと対策

HTTP ヘッダー・インジェクションとは HTTP ヘッダーインジェクションとは、リダイレクト先を指定する Location ヘッダーなどに改行コードを含めることにより、以下のようなことを行える脆弱性です。 任意のレスポンスヘッダーの追加 レスポンスボディの偽造 これにより、クロスサイト・スクリプティングと同様の被害が起きます。 偽ページの表示 Cookie...
>>続きを読む

2013年3月21日
ディレクトリ・トラバーサル対策(PHP編)

ディレクトリ・トラバーサルの対策は以下の記事を参照してください。 ディレクトリ・トラバーサルと対策 この一部を PHP で実現すると以下のようになります。 根本的対策 ■ファイルを開く場合は、固定ディレクトリ+ファイル名にする basename 関数を利用してファイル名を取得後、ディレクトリと結合してパスを作成します。 [crayon-5dac09900520050...
>>続きを読む