Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら RSSフィードのご登録はこちらから

Webアプリケーションセキュリティ対策

2013年3月5日
CSRF の安全なトークンの作成方法(Java編)

以下の記事の内容に従って、Java で CSRF の安全なトークンを作成する方法をご紹介します。CSRF の安全なトークンの作成方法Java の 暗号論的擬似乱数生成器 で乱数を作成できるクラスは、java.security.SecureRandom クラスになります。また、安全なトークンの桁数は32桁になります。 import java.security.NoSuch...
>>続きを読む

2013年3月5日
CSRF の安全なトークンの作成方法

CSRF のトークンは、以前はセッション ID を利用することが多かったですが、より安全に対応するために乱数でトークンを作成するようになりました。これは、Cookie に保存されているセッション ID だと、クロスサイト・スクリプティングの脆弱性やブラウザの不具合などによりセッション ID が漏洩する可能性があるためです。また、会社のポリシーで独自トークンの利用が義務付けられていたり、ワン...
>>続きを読む

2013年3月5日
クロスサイト・リクエストフォージェリ(CSRF)と対策

クロスサイト・リクエストフォージェリ(CSRF)とはWeb アプリケーションが以下の仕組みで動作している場合、ユーザーからのリクエストを本人のリクエストだと判別する仕組みを持っていないとクロスサイト・リクエストフォージェリ(以下、CSRF)の脆弱性になります。Cookie でセッション管理を行なっている HTTP の基本認証、SSL クライアント証明書を利用している ...
>>続きを読む

2013年3月4日
SQLインジェクション対策(PHP編)

SQL インジェクションの対策は、簡単に言えば SQL で静的プレースホルダを使用することです。静的プレースホルダの詳細については、以下の記事を参照してください。[blogcard url="https://www.websec-room.com/2013/03/03/365"]では、PHP で SQL インジェクション対策を実際にどのように行うのか簡単なログイン処理で具体...
>>続きを読む

2013年3月3日
SQLインジェクション対策(ASP.NET,C#,VB.NET編)

概要 SQL インジェクションの対策は、簡単に言えば SQL で静的プレースホルダを使用することです。静的プレースホルダの詳細については、以下の記事を参照してください。[blogcard url="https://www.websec-room.com/2013/03/03/365"]では、ASP.NET(C#, VB.NET) で SQL インジェクション対策を実際にど...
>>続きを読む