SQL/コマンドインジェクション、XSS等を横串で理解する - 「インジェクション」脆弱性への向き合い方 - Flatt Security Blog

2024/03/28 20 users コマンドインジェクション 本稿 OWASP TOP 文書 横串

こんにちは、@hamayanhamayan です。 本稿ではWebセキュリティに対する有用な文書として広く参照されているOWASP Top 10の1つ「インジェクション」について考えていきます。色々なインジェクションを例に挙げながら、どのようにインジェクションが起こるのかという発生原理から、どのようにインジェクションを捉え、より... 続きを読む

安全なウェブサイトの作り方~失敗例~ - goruchan’s blog

2023/11/12 148 users ウェブサイト SQL OS コマンドインジェクション 資料

安全なウェブサイトの作り方を読んだので、理解した内容を自分なりにまとめておきます。資料 上記は3章構成になっていてそれぞれ長めの内容なので、ここでは3章の『失敗例』について、Ruby on Rails ではどうするかについてをまとめます。 SQL インジェクション OS コマンドインジェクション パス名パラメータの未チェッ... 続きを読む

SPA開発とセキュリティ - DOM based XSSを引き起こすインジェクションのVue, React, Angularにおける解説と対策 - Flatt Security Blog

2022/04/07 22 users React angular Vue SPA開発 セキュリティ

Vue.js logo: ©︎ Evan You (CC BY-NC-SA 4.0 with extra conditions(It’s OK to use logo in technical articles for educational purposes)) / React logo: ©︎ Meta Platforms, Inc. (CC BY 4.0) / Angular logo: ©︎ Google (CC BY 4.0) はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの森(@ei01241)... 続きを読む

改行コードに要注意！ HTTP ヘッダインジェクションの概要と対策 | yamory Blog

2020/07/17 13 users http 要注意 改行コード レスポンスヘッダ 概要

HTTP ヘッダインジェクション （HTTP Header Injection）は、ユーザーから受け取ったデータを Web アプリケーション側で適切にチェックせずに、HTTP レスポンスヘッダに反映させてしまうことで発生する脆弱性・攻撃手法です。 改行コードが起因となることから、CRLF インジェクション（CRLF Injection）とも呼ばれていま... 続きを読む

ハッキングの手口を文系に理解できるよう野球に置き換えて説明してみる (1/3) - ねとらぼ

2017/04/28 52 users ハッキング 文系 手口 DoS攻撃 とらぼ

こんにちは、ライターの中山と申します。突然ですが「ハッキング」って、IT系ニュースとかで耳にはするけど、具体的な手口や方法についてはよく分からなくないですか？ 「なんとかインジェクション」 とか 「なんちゃらスクリプティング」 とか 「なになに攻撃」 とか、英語でも日本語でも難しい言葉ばかり使われるし、文系人間には字面から中身が想像できない！　少なくとも、「DoS攻撃がドスドス攻撃することではない... 続きを読む

DIコンテナのインジェクション方法の使い分けについて - 日々常々

2017/04/16 171 users DIコンテナ コンテナ インスタンス コンテナ管理 日々

2017 - 04 - 16 DIコンテナのインジェクション方法の使い分けについて Java DIコンテナを使う時にどのインジェクションを使うかって話です。 たぶん誰かがどこかで同じようなことを書いているだろうけれど、気にせず書くよ。 「他の誰かが書いている」なんてのを書かない理由にしてると何も書けなくなるし。 コンテナ DIコンテナのこと。 コンテナ管理 インスタンス のライフサイクルをコンテナ... 続きを読む

bowerと仲良くなる - Qiita

2014/10/05 46 users Qiita BOWER Grunt angular 挿入

<script src="/bower_components/angular/angular.js"></script> いちいちこういうコード書いてる人、いませんよね。bowerを使えるなら自動で挿入(インジェクション)すべきです。 main-bower-filesを活用すべし しばらくgruntでgrunt-wiredepを使っていたんですが、useminに脳を焼かれたためGrunt自体やめま... 続きを読む

SQLインジェクション対策について

2013/12/16 125 users SQLインジェクション対策 Query MySQL SQL

SQLインジェクション対策について 教育的な観点ではなく実務的な観点から、僕の考えをまとめてみる。UTF-8 を利用し、SET NAMES を利用していなくて mysql で、クライアントプリペアドステートメントなケースを想定している。 SQL インジェクションとは $foo=$_POST[‘id’]; query(“SELECT * FROM foo WHERE id=$foo”); のように外... 続きを読む

NoSQLを使うなら知っておきたいセキュリティの話（2）：「JSON文字列へのインジェクション」と「パラメータの追加」 (1/2) - ＠IT

2013/06/06 87 users NoSQL MongoDB パラメータ 連想配列 実例

前回の「『演算子のインジェクション』と『SSJI』」では、MongoDBを用いたWebアプリケーションで生じうる脆弱性のうち「演算子のインジェクション」と「SSJI」について、攻撃の実例と対策について解説しました。今回はさらに、「JSON文字列へのインジェクション」と「パラメータの追加」について説明します。 これまで見てきたように、PHP言語においては連想配列を指定してデータの登録処理や検索処理を... 続きを読む

NoSQLを使うなら知っておきたいセキュリティの話（1）：「演算子のインジェクション」と「SSJI」 (1/2) - ＠IT

2013/05/22 218 users NoSQL アプリケーション データベース 演算子 攻撃手法

ここ数年、大量データ処理時の高速性やデータ構造の柔軟性などから、「NoSQL」が注目を集めています。それと同時に、NoSQLを使うアプリケーションに対する攻撃手法も研究されるようになりました。この記事では、NoSQLを使ったアプリケーションの脆弱性と対策について解説します。 注目集める「NoSQL」 ここ数年、NoSQLと呼ばれる種類のデータベースが注目を集めています。NoSQLはSQL言語を使用... 続きを読む

Mundane Life: MySQL の Prepared Statement

2011/04/10 49 users Prepared Statement MySQL IPA

Sunday, April 10, 2011 MySQL の Prepared Statement けさは、SQL インジェクションを少しだけ勉強したので、それに関して、ごく私的なメモを書き残しておこうと思う。情報処理推進機構 (IPA) の 「安全なウェブサイトの作り方」 では、SQL インジェクションの脆弱性を予防するための根本的解決として、まず第一に 「SQL 文の組み立ては全てプレースホル... 続きを読む

NULLとUNKNOWNを積極的に活用するSQLの書き方

2005/03/21 78 users Unknown null DBMS SQL くだちい

312 ：1/3：05/03/12 03:17:26 ID:??? 突然ですが，面白い SQL を思いついたので，ご意見を頂きたいです．興味を持たれた方は使ってみてくだちい。 一般的に，SQL の発行は，プリペアドステートメントを使う方がよいとされている．その理由は， DBMS のキャッシュが良く効く． SQL インジェクション等の危険が避けられる，等． しかし，webアプリの検索フォームなどでは... 続きを読む