Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら RSSフィードのご登録はこちらから
ホーム > Webアプリケーションセキュリティ対策

Webアプリケーションセキュリティ対策

2013年3月20日
ディレクトリ・トラバーサル対策(ASP.NET,C#,VB.NET編)

ディレクトリ・トラバーサルの対策は以下の記事を参照してください。ディレクトリ・トラバーサルと対策この一部を ASP.NET(C#,VB.NET)で実現すると以下のようになります。 根本的対策 ■ファイルを開く場合は、固定ディレクトリ+ファイル名にするファイル名を取得後、ディレクトリと結合してパスを作成します。・C# using System; usi...
>>続きを読む

2013年3月20日
ディレクトリ・トラバーサル対策(Java編)

ディレクトリ・トラバーサルの対策は以下の記事を参照してください。ディレクトリ・トラバーサルと対策この一部を Java で実現すると以下のようになります。 根本的対策 ■ファイルを開く場合は、固定ディレクトリ+ファイル名にする java.io.Fileクラスを利用してファイル名を取得後、ディレクトリと結合してパスを作成します。 import java.io.File; ...
>>続きを読む

2013年3月20日
ディレクトリ・トラバーサルと対策

ディレクトリ・トラバーサルとはディレクトリ・トラバーサルとは、リクエストのパスに不正な内容を指定することで、本来アクセス権のないファイルを閲覧、改ざん、削除されてしまう脆弱性のことです。 ディレクトリ・トラバーサルの対策外部からのパラメーターでファイル名を直接指定しない ファイルを開く場合は、固定ディレクトリ+ファイル名にする■外部からのパラメーター...
>>続きを読む

2013年3月20日
エラーメッセージの表示内容に注意する

例えば、ログインエラーが起きた場合、以下のようなエラーメッセージを表示することはないでしょうか? パスワードが異なります。 これは、見方を変えれば、ユーザー ID は正しいことを攻撃者に伝えていることになります。攻撃者は、ユーザーID を固定して、パスワードの解析を始めるでしょう。 ログインエラーの場合の正しいエラーメッセージの例は以下のようになります。 ユーザー ID または パスワードが異...
>>続きを読む

2013年3月20日
OSコマンド・インジェクションと対策

OS コマンド・インジェクションとはOS コマンド・インジェクションとは、リクエストパラメーターに OS コマンドを含めることで、Web サーバー上で OS コマンドを実行されてしまう脆弱性です。OS コマンド・インジェクションがあると、攻撃者が何でも実行できる状態になるため、Webアプリケーションの脆弱性の中でも深刻なものになります。万が一、OS コマンド・インジェクションの...
>>続きを読む