Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから

Webアプリケーションセキュリティ

2013年3月5日
CSRF の安全なトークンの作成方法(Java編)

以下の記事の内容に従って、Java で CSRF の安全なトークンを作成する方法をご紹介します。 CSRF の安全なトークンの作成方法 Java の 暗号論的擬似乱数生成器 で乱数を作成できるクラスは、java.security.SecureRandom クラスになります。 また、安全なトークンの桁数は32桁になります。 [crayon-5cb9aad6099e7335817...
>>続きを読む

2013年3月5日
CSRF の安全なトークンの作成方法

CSRF のトークンは一般的にはセッション ID を利用することが多いですが、より安全に対応するためにトークンを自分で作成することがあります。 これは、Cookie に保存されているセッション ID だと、クロスサイト・スクリプティングの脆弱性やブラウザの不具合などによりセッション ID が漏洩する可能性があるためです。また、会社のポリシーで独自トークンの利用が義務付けられていたり、ワンタイ...
>>続きを読む

2013年3月5日
クロスサイト・リクエストフォージェリ(CSRF)と対策

クロスサイト・リクエストフォージェリ(CSRF)とは Web アプリケーションが以下の仕組みで動作している場合、ユーザーからのリクエストを本人のリクエストだと判別する仕組みを持っていないとクロスサイト・リクエストフォージェリ(以下、CSRF)の脆弱性になります。 Cookie でセッション管理を行なっている HTTP の基本認証、SSL クライアント証明書を利用している ...
>>続きを読む

2013年3月4日
SQLインジェクション対策(PHP編)

PHP で SQL インジェクション対策を実際にどのように行うのか、簡単なログイン処理で具体的に見てみましょう。 ログイン処理の概要は以下の通りです。 動作環境は、PHP + PDO + MySQL と PHP + MDB2 + MySQL です。以前はMDB2 を推奨していましたが、今後の開発では、5.4系、5.5系は PDO を採用することを推奨します。5.3系は状況に合わ...
>>続きを読む

2013年3月3日
SQLインジェクション対策(ASP.NET,C#,VB.NET編)

概要 ASP.NET(C#, VB.NET) で SQL インジェクション対策を実際にどのように行うのか、簡単なログイン処理で具体的に見てみましょう。 ログイン処理の概要は以下の通りです。動作環境は、.NET Framework 4.5 + SQL Server 2012 になります。 接続先のデータベース名は Test、テーブル名は LOGIN で、列名は ID, PASS...
>>続きを読む