Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから

Webアプリケーションセキュリティ

2013年3月20日
ディレクトリ・トラバーサル対策(ASP.NET,C#,VB.NET編)

ディレクトリ・トラバーサルの対策は以下の記事を参照してください。 ディレクトリ・トラバーサルと対策 この一部を ASP.NET(C#,VB.NET)で実現すると以下のようになります。 根本的対策 ■ファイルを開く場合は、固定ディレクトリ+ファイル名にする ファイル名を取得後、ディレクトリと結合してパスを作成します。 ・C# [crayon-5def1cd000...
>>続きを読む

2013年3月20日
ディレクトリ・トラバーサル対策(Java編)

ディレクトリ・トラバーサルの対策は以下の記事を参照してください。 ディレクトリ・トラバーサルと対策 この一部を Java で実現すると以下のようになります。 根本的対策 ■ファイルを開く場合は、固定ディレクトリ+ファイル名にする java.io.Fileクラスを利用してファイル名を取得後、ディレクトリと結合してパスを作成します。 [crayon-5def1cd00142a...
>>続きを読む

2013年3月20日
ディレクトリ・トラバーサルと対策

ディレクトリ・トラバーサルとは ディレクトリ・トラバーサルとは、リクエストのパスに不正な内容を指定することで、本来アクセス権のないファイルを閲覧、改ざん、削除されてしまう脆弱性のことです。 ディレクトリ・トラバーサルの対策 外部からのパラメーターでファイル名を直接指定しない ファイルを開く場合は、固定ディレクトリ+ファイル名にする ■外部からのパラメーター...
>>続きを読む

2013年3月20日
エラーメッセージの表示内容に注意する

例えば、ログインエラーが起きた場合、以下のようなエラーメッセージを表示することはないでしょうか? パスワードが異なります。 これは、見方を変えれば、ユーザー ID は正しいことを攻撃者に伝えていることになります。攻撃者は、ユーザーID を固定して、パスワードの解析を始めるでしょう。 ログインエラーの場合の正しいエラーメッセージの例は以下のようになります。 ユーザー ID または パスワードが異...
>>続きを読む

2013年3月20日
OSコマンド・インジェクションと対策

OS コマンド・インジェクションとは OS コマンド・インジェクションとは、リクエストパラメーターに OS コマンドを含めることで、Web サーバー上で OS コマンドを実行されてしまう脆弱性です。 OS コマンド・インジェクションがあると、攻撃者が何でも実行できる状態になるため、Webアプリケーションの脆弱性の中でも深刻なものになります。万が一、OS コマンド・インジェクションの...
>>続きを読む