Webセキュリティの小部屋

JSON のセキュリティ対策は、以下の記事に記載した通りですが、これを ASP.NET で実現するにはどうしたらよいでしょうか。この記事では、JSON セキュリティ対策のサンプルプログラムを提示します。 JSON セキュリティ対策ASP.NET で JSON データを返す Web サービスを作成するには、.NET Framework 3.0 から提供されている WCF(...
>>続きを読む

JSON 概要 JSON (JavaScript Object Notation) とは、JavaScript で記述されたデータフォーマットであり、JavaScript で簡単に操作できることが特徴です。JSON の記述形式は以下のようになります。"名前":"値" の形式となり、値が複数ある場合はカンマでつなぎ、全体を{}(中括弧)で囲みます。 {"Name":"Yamada","A...
>>続きを読む

メールヘッダー・インジェクションとはメールヘッダー・インジェクションとは、問い合わせフォームなどのメールを送信する画面で、メールの内容を改ざんし、迷惑メールの送信などに悪用されてしまう脆弱性のことです。メールの宛先に改行コードを挿入することで、新しいメールヘッダーを追加し、本来の宛先以外にメールを送信したり、メールの内容を改ざんしたりします。 メールヘッダー・インジェクション...
>>続きを読む

HTTP ヘッダー・インジェクションとはHTTP ヘッダーインジェクションとは、リダイレクト先を指定する Location ヘッダーなどに改行コードを含めることにより、以下のようなことを行える脆弱性です。任意のレスポンスヘッダーの追加 レスポンスボディの偽造これにより、クロスサイト・スクリプティングと同様の被害が起きます。偽ページの表示 Cookie...
>>続きを読む

ディレクトリ・トラバーサルの対策は以下の記事を参照してください。ディレクトリ・トラバーサルと対策この一部を PHP で実現すると以下のようになります。 根本的対策 ■ファイルを開く場合は、固定ディレクトリ＋ファイル名にする basename 関数を利用してファイル名を取得後、ディレクトリと結合してパスを作成します。 <?php $DIRECTRY_P...
>>続きを読む