Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから

Webアプリケーションセキュリティ

2013年3月9日
セッション管理の不備と対策(PHP編)

セッション管理の不備に対する根本的対策は、以下の記事を参照してください。 セッション管理の不備と対策 これを PHP で実現すると以下のようになります。 ■1.推測困難なセッション ID を利用する PHP はデフォルトで推測困難なセッション ID を生成しません。推測困難なセッション ID を生成するためには、Linux では php.ini の設定を以下のようにする必要があ...
>>続きを読む

2013年3月9日
セッション管理の不備と対策(ASP.NET,C#,VB.NET編)

セッション管理の不備に対する根本的対策は、以下の記事を参照してください。 セッション管理の不備と対策 これを ASP.NET で実現すると以下のようになります。 ■1.推測困難なセッション ID を利用する ASP.NET のセッション ID の生成は特に問題ないので、ASP.NET のセッション ID 作成機能を利用します。 ■2.セッション ID を URL に含めな...
>>続きを読む

2013年3月9日
セッション管理の不備と対策(Java編)

セッション管理の不備に対する根本的対策は、以下の記事を参照してください。 セッション管理の不備と対策 これを Java で実現すると以下のようになります。 ■1.推測困難なセッション ID を利用する Java のセッション ID の生成は特に問題ないので、Java 実行環境のセッション ID 作成機能を利用します。 ■2.セッション ID を URL に含めない Ja...
>>続きを読む

2013年3月9日
セッション管理の不備と対策

セッション管理をセッション ID と Cookie で行なっている Webアプリケーションでは、適切な対策を行なっていないと、セッション管理の不備で深刻な脆弱性が発生します。 ■セッションハイジャック セッションハイジャックは、利用者が Webアプリケーションにログインした際に発行されるセッション ID を、ネットワーク上で盗聴されたり、規則性から類推されることで、攻撃者が利用...
>>続きを読む

2013年3月9日
入力値は必ずサーバー側でチェックする

プラウザから送信されてきた入力値、パラメーターは必ずサーバー側の受け入れ時にチェックを行うようにします。 ブラウザ上の JavaScript で入力値チェックを行なっているのだから、サーバー側でのチェックは不要だと考えるケースが見受けられますが、以下の記事に書いたように、ブラウザから送信されてくる情報は簡単に改ざんが可能です。 重要情報はブラウザに持たない ですので、ブラウザ上...
>>続きを読む