タグ インジェクション
人気順 10 users 50 users 100 users 500 users 1000 usersSQL/コマンドインジェクション、XSS等を横串で理解する - 「インジェクション」脆弱性への向き合い方 - Flatt Security Blog
こんにちは、@hamayanhamayan です。 本稿ではWebセキュリティに対する有用な文書として広く参照されているOWASP Top 10の1つ「インジェクション」について考えていきます。色々なインジェクションを例に挙げながら、どのようにインジェクションが起こるのかという発生原理から、どのようにインジェクションを捉え、より... 続きを読む
安全なウェブサイトの作り方~失敗例~ - goruchan’s blog
安全なウェブサイトの作り方を読んだので、理解した内容を自分なりにまとめておきます。資料 上記は3章構成になっていてそれぞれ長めの内容なので、ここでは3章の『失敗例』について、Ruby on Rails ではどうするかについてをまとめます。 SQL インジェクション OS コマンドインジェクション パス名パラメータの未チェッ... 続きを読む
SPA開発とセキュリティ - DOM based XSSを引き起こすインジェクションのVue, React, Angularにおける解説と対策 - Flatt Security Blog
Vue.js logo: ©︎ Evan You (CC BY-NC-SA 4.0 with extra conditions(It’s OK to use logo in technical articles for educational purposes)) / React logo: ©︎ Meta Platforms, Inc. (CC BY 4.0) / Angular logo: ©︎ Google (CC BY 4.0) はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの森(@ei01241)... 続きを読む
改行コードに要注意! HTTP ヘッダインジェクションの概要と対策 | yamory Blog
HTTP ヘッダインジェクション (HTTP Header Injection)は、ユーザーから受け取ったデータを Web アプリケーション側で適切にチェックせずに、HTTP レスポンスヘッダに反映させてしまうことで発生する脆弱性・攻撃手法です。 改行コードが起因となることから、CRLF インジェクション(CRLF Injection)とも呼ばれていま... 続きを読む
ハッキングの手口を文系に理解できるよう野球に置き換えて説明してみる (1/3) - ねとらぼ
こんにちは、ライターの中山と申します。突然ですが「ハッキング」って、IT系ニュースとかで耳にはするけど、具体的な手口や方法についてはよく分からなくないですか? 「なんとかインジェクション」 とか 「なんちゃらスクリプティング」 とか 「なになに攻撃」 とか、英語でも日本語でも難しい言葉ばかり使われるし、文系人間には字面から中身が想像できない! 少なくとも、「DoS攻撃がドスドス攻撃することではない... 続きを読む
DIコンテナのインジェクション方法の使い分けについて - 日々常々
2017 - 04 - 16 DIコンテナのインジェクション方法の使い分けについて Java DIコンテナを使う時にどのインジェクションを使うかって話です。 たぶん誰かがどこかで同じようなことを書いているだろうけれど、気にせず書くよ。 「他の誰かが書いている」なんてのを書かない理由にしてると何も書けなくなるし。 コンテナ DIコンテナのこと。 コンテナ管理 インスタンス のライフサイクルをコンテナ... 続きを読む
bowerと仲良くなる - Qiita
<script src="/bower_components/angular/angular.js"></script> いちいちこういうコード書いてる人、いませんよね。bowerを使えるなら自動で挿入(インジェクション)すべきです。 main-bower-filesを活用すべし しばらくgruntでgrunt-wiredepを使っていたんですが、useminに脳を焼かれたためGrunt自体やめま... 続きを読む
SQLインジェクション対策について
SQLインジェクション対策について 教育的な観点ではなく実務的な観点から、僕の考えをまとめてみる。UTF-8 を利用し、SET NAMES を利用していなくて mysql で、クライアントプリペアドステートメントなケースを想定している。 SQL インジェクションとは $foo=$_POST[‘id’]; query(“SELECT * FROM foo WHERE id=$foo”); のように外... 続きを読む
NoSQLを使うなら知っておきたいセキュリティの話(2):「JSON文字列へのインジェクション」と「パラメータの追加」 (1/2) - @IT
前回の「『演算子のインジェクション』と『SSJI』」では、MongoDBを用いたWebアプリケーションで生じうる脆弱性のうち「演算子のインジェクション」と「SSJI」について、攻撃の実例と対策について解説しました。今回はさらに、「JSON文字列へのインジェクション」と「パラメータの追加」について説明します。 これまで見てきたように、PHP言語においては連想配列を指定してデータの登録処理や検索処理を... 続きを読む
NoSQLを使うなら知っておきたいセキュリティの話(1):「演算子のインジェクション」と「SSJI」 (1/2) - @IT
ここ数年、大量データ処理時の高速性やデータ構造の柔軟性などから、「NoSQL」が注目を集めています。それと同時に、NoSQLを使うアプリケーションに対する攻撃手法も研究されるようになりました。この記事では、NoSQLを使ったアプリケーションの脆弱性と対策について解説します。 注目集める「NoSQL」 ここ数年、NoSQLと呼ばれる種類のデータベースが注目を集めています。NoSQLはSQL言語を使用... 続きを読む
Mundane Life: MySQL の Prepared Statement
Sunday, April 10, 2011 MySQL の Prepared Statement けさは、SQL インジェクションを少しだけ勉強したので、それに関して、ごく私的なメモを書き残しておこうと思う。情報処理推進機構 (IPA) の 「安全なウェブサイトの作り方」 では、SQL インジェクションの脆弱性を予防するための根本的解決として、まず第一に 「SQL 文の組み立ては全てプレースホル... 続きを読む
NULLとUNKNOWNを積極的に活用するSQLの書き方
312 :1/3:05/03/12 03:17:26 ID:??? 突然ですが,面白い SQL を思いついたので,ご意見を頂きたいです.興味を持たれた方は使ってみてくだちい。 一般的に,SQL の発行は,プリペアドステートメントを使う方がよいとされている.その理由は, DBMS のキャッシュが良く効く. SQL インジェクション等の危険が避けられる,等. しかし,webアプリの検索フォームなどでは... 続きを読む