安全なWebアプリケーションの作り方改訂のお知らせ | 徳丸浩の日記

2018/03/06 742 users 徳丸浩 デシリアライゼーション xxE OWASP TOP

徳丸本こと、「 体系的に学ぶ 安全なWebアプリケーションの作り方 」は、2011年3月の発売以降大変多くの方に読んでいただきました。ありがとうございます。 ただ、発売から既に7年が経過し、内容が古くなってきた感は否めません。たとえば、クリックジャッキングの説明はほとんどないですし、OWASP Top 10 2017で選入された安全でないデシリアライゼーションやXXEの説明もありません。なにより、... 続きを読む

Rubyで安全なWebアプリを作るためのメモ | monoの開発ブログ

2012/02/18 580 users mono Ruby メモ Webアプリ 開発ブログ

RubyでWebアプリケーションを作るときにセキュリティ関連でやっておくべきことのメモです。 以下の4つの問題について、Sinatra・Hamlを使っている環境(うちの環境)での対策方法を説明しています。それぞれの問題についての詳細はここでは触れないので、徳丸本を読むとよいと思います。 XSS CSRF クリックジャッキング IEのsniffing XSS対策 エスケープ漏れを防ぐ きちんとエスケ... 続きを読む

クリックジャッキングってこうですか？ わかりません

2009/03/03 3582 users

ようこそ！ つるぺた秘宝館へ…！ きみも、あんなアレや、こんなソレを見にきちゃたんですね…！ 悪い子…！ つるぺた(無修正)のアレを見るには下の「秘宝館」をクリック！ → 秘宝館に入場してくれた人たち → このページの説明が入る予定のところ 続きを読む

主要ブラウザすべてに影響する「クリックジャッキング」攻撃とは

2009/03/03 612 users JPCERTコーディネーションセンター JPCERT 攻撃

JPCERTコーディネーションセンター（JPCERT/CC）は3日、ユーザーのWebブラウザ上のクリック操作を乗っ取る「クリックジャッキング」と呼ばれる攻撃について、攻撃の概要と対策法を示す技術メモを公開した。 　クリックジャッキングとは、透過指定されたiframeなどの要素に標的サイトのコンテンツを読み込み、これを攻撃者サイトの要素よりも上に配置することで、Webブラウザの画面上には攻撃者サイト... 続きを読む