サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
デスク環境を整える
www.hash-c.co.jp
講演ビデオ 徳丸本に載っていないWebアプリケーションセキュリティ / PHPカンファレンス北海道2012 from suzuki on Vimeo. ※リンク、ブックマーク等は、PDF直接ではなく、このページにお願いします。
このページは書籍「体系的に学ぶ 安全なWebアプリケーションの作り方」の公式サポートページです。本書に関する話題をつぶやく際は、ハッシュタグ #wasbook をお使いください。 2022年12月4日: M1/M2 Mac向けにDocker版の実習環境の提供を開始しました。詳しくはこちらから。 2024年2月4日: FoxyProxy Ver8でのインポートの方法を公開しました。【New】 2024年4月17日: Docker版実習環境にてRIPSが動作しない問題を解消しました(Ver 1.1.1)。【New】 OWASP ZAPのバージョン 2.8.0 以降でエラー表示になる場合はこちらを参照ください。 2022年6月14日以降のFirefoxの設定変更に対応するためにはこちらを参照ください。 実習環境VMの不具合を修正した版(1.0.4)がダウンロード可能になりました(2022年8月2
ハッチュコンサルティング株式会社 公開日:2012年4月1日 概要 ハッチュコンサルティング株式会社(東京都文京区)は、本日(2012年4月1日)phpMyAdminに、リモートから任意のSQLを実行されてしまう問題があることをチューイ喚起する。悪用されると極めて危険であることから、phpMyAdmin利用者は自サイトの状況確認と対策を推奨する。 背景 phpMyAdminはWebのGUIからMySQLの管理が行えるソフトであり、PHPで記述され、オープンソースソフトウェアとして提供されている(提供元)。phpMyAdminは高機能で使いやすいことから人気があるが、脆弱性問題がしばしば発見されており、インターネット経由の攻撃対象になることも多いという問題が以前から指摘されていた(株式会社ラックによる注意喚起、弊社代表のブログ記事)。 発表する問題 ハッチュコンサルティング株式会社の調査によ
このページは書籍「体系的に学ぶ 安全なWebアプリケーションの作り方」の公式サポートページです。 本書に関する話題をつぶやく際は、ハッシュタグ #wasbook をお使いください。 著者: 徳丸浩 発売日: 2011年3月1日 ISBN: 978-4-7973-6119-3 出版社: ソフトバンククリエイティブ 価格: ¥3,360(税込み) →出版社のサイト →電子書籍で購入する(DRMフリーPDF) →電子書籍で購入する(Kindle) →電子書籍で購入する(Google play) →Amazonで購入する(送料無料) →楽天ブックスで購入(送料無料) →丸善&ジュンク堂で購入する(送料無料) 目次 1章 Webアプリケーションの脆弱性とは 2章 実習環境のセットアップ 3章 Webセキュリティの基礎 ~HTTP、セッション管理、同一生成元ポリシー 4章 Webアプリケーションの機能
phpconf2010.pdf(792KB) アジェンダ 文字コード超入門 文字コードの扱いに起因する脆弱性デモ6連発 文字コードの扱いに関する原則 現実的な設計・開発指針 まとめ
WAS Forum Conference 2010講演資料「ケータイ2.0が開けてしまったパンドラの箱」
HASHコンサルティング株式会社 公開日:2010年5月24日 概要 昨年11月24日づけアドバイザリにて、iモードブラウザ2.0のJavaScriptにより、携帯端末に割り当てられたID(以下、端末固有ID)を利用した認証機能(以下、かんたんログイン)に対する不正アクセスが可能となる場合があることを報告した。その後の調査により、同種の問題がYahoo!ケータイのブラウザ(通信事業者はソフトバンクモバイル)でも発生することを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者およびYahoo!ケータイ利用者には至急の対策を推奨する。 背景 携帯電話のかんたんログインとは、ケータイブラウザに用意された端末固有IDを利用した簡易的な認証であり、ユーザがIDやパスワードを入力しなくても認証が可能となる。Yahoo!ケータイでは、端末シリアル番号およびUIDの2種類の端末固有IDを提
■「かんたんログイン」DNSリバインディング耐性のチェック方法 このエントリでは、ケータイ向けWebサイトがDNSリバインディング攻撃に対する防御耐性があるかどうかをチェックする方法を説明します。ケータイ向けに「かんたんログイン」機能をもつWebサイトをチェック対象とします。 基本的な前提として、検査対象のWebサイトの管理者が自ら検査することを想定しています。 用意するもの チェック対象のWebアプリケーション(かんたんログイン機能あり) 携帯電話(かんたんログイン可能なもの) インターネット接続されたパソコン ステップ0:IPアドレスの調査 検査対象のWebサーバーのIPアドレスを調べます。一例として、検査対象サーバーのホスト名が mobile.example.com の場合、以下のコマンドでIPアドレスを調べることができます。 C:>nslookup mobile.example.
iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 HASHコンサルティング株式会社 公開日:2009年11月24日 追記日:2010年1月21日 概要 iモードブラウザ2.0のJavaScriptとDNS Rebinding問題の組み合わせにより、iモードIDを利用した認証機能(以下かんたんログイン)に対する不正アクセスが可能となる場合があることを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者には至急の対策を推奨する。 背景携帯電話のかんたんログインとは、ケータイブラウザ(たとえばiモードブラウザ)に用意された契約者固有IDを利用した簡易的な認証であり、ユーザがIDやパスワードを入力しなくても認証が可能となる。iモードIDは、NTTドコモの提供する契約者固有IDの一種で、URLにguid=ONというクエリストリングを含めることにより、端末固
HASHコンサルティング株式会社 公開日:2009年11月24日 追記日:2010年1月21日 概要 iモードブラウザ2.0のJavaScriptとDNS Rebinding(DNSリバインディング)問題の組み合わせにより、iモードIDを利用した認証機能(以下かんたんログイン)に対する不正アクセスが可能となる場合があることを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者には至急の対策を推奨する。 背景 携帯電話のかんたんログインとは、ケータイブラウザ(たとえばiモードブラウザ)に用意された契約者固有IDを利用した簡易的な認証であり、ユーザがIDやパスワードを入力しなくても認証が可能となる。iモードIDは、NTTドコモの提供する契約者固有IDの一種で、URLにguid=ONというクエリストリングを含めることにより、端末固有の7桁のIDがWebサーバに送出される。現在、iモ
■発注者のためのセキュリティ こちらの日記はずいぶん後沙汰しておりますが、標記のように、PHPカンファレンス2009 ビジネスデイにて発表する機会をいただきました。関係者のみなさまありがとうございました。 主催者からのリクエストが、「発注側として気をつけるべきセキュリティ」ということでしたので、今さらXSSやSQLインジェクションの話をしてもしょうがないと思い、発注者視点での話をこの機会にまとめてみようと思いました。そのため、タイトルは「45分で分かる、安全なWebアプリケーション開発のための、発注・要件・検収」といたしました。 発表の中でも述べましたが、発注者がセキュリティに関与できる場面は、発注と検収の場面しかなく、検収は発注仕様に沿っているかどうかを確認するものですので、発注と要件(発注仕様)が極めて重要ということになります。しかし、従来、このセキュリティ要件をどのように書けばよい
phpconf2009.pdf(1.2M) アジェンダ セキュア開発をベンダーに促すにはどうすればよいか セキュア開発においてコストを低減するには セキュア開発の要件定義はどう考えればよいか セキュア開発で大切な3つのこと セキュリティ要件とセキュリティバグ 開発標準と教育 セキュリティテスト セキュリティテストツールとしての「ウェブ健康診断仕様」
20090808wankuma.pdf(1.4M) アジェンダ セキュア開発の要件定義はどう考えればよいか セキュア開発で大切な3つのこと セキュリティ要件とセキュリティバグ 開発標準と教育 セキュリティテスト セキュリティテストツールとしての「ウェブ健康診断仕様」
概要 本レポートでは、ASP.NET(1.1)をUTF-8文字エンコーディングにて利用しているサイトにおいて、不正な文字エンコーディングを利用したIDS/IPS/WAF回避の可能性について報告する。 背景 株式会社ラックが2008年10月に「【CSL】CSL緊急注意喚起レポート~新手のSQLインジェクションを行使するボットの確認~」と題するホワイトペーパーを発表した。いくつかの新種の攻撃手法が説明されている中で、不正なパーセントエンコードを利用した検知回避テクニックについて言及している。具体的には、以下のような方法だ。 Active Server Pages(ASP)では、「DEC%LARE」のようにパーセント記号に続く2文字が16進数でない場合、パーセント記号を取り除く、すなわち、ASPスクリプト内部では、入力は「DECLARE」として処理される。 アプリケーション側でSQLインジェクシ
WASForum Conference 2008講演資料 7/5 Developers DAY - 事件は現場で起こっている……セキュリティライフサイクルとマルプラクティスにて講演したスライドを公開いたします。 wasf2008.pdf アジェンダ 正しくないSQLインジェクション対策の今昔 SQLインジェクション対策の考え方 SQLインジェクション対策の実際
第02回まっちゃ445勉強会講演資料「WAF入門 ~原理、効果、限界~」
HASHコンサルティング株式会社の講演資料など
Copyright(C)2008 HASH Consulting Corporation. All Rights Reserved.
■WASForum Conference 2008で講演します 標記のように、WASForum Conference 2008の7/5 Developers DAY - 事件は現場で起こっている……セキュリティライフサイクルとマルプラクティスにて、「SQLインジェクション対策再考」のタイトルで講演させていただくことになりました。7月5日土曜日、東銀座時事通信ホールです。 私の個人ブログにてSQLインジェクションについて書き溜めてきたことの総まとめをこの場でしたいと考えております。どうぞご期待ください。 ■安全なWebアプリケーションのために発注者がなすべきこと このブログでの連載開始にあたり、Webアプリケーションを発注する立場でのセキュリティに対する責任や、なすべきことを説明したいと思います。 Webアプリケーション発注者に脆弱性に対する責任はあるか そもそも非常に基本的な前提として
■安全なWebアプリケーションのために発注者がなすべきこと このブログでの連載開始にあたり、Webアプリケーションを発注する立場でのセキュリティに対する責任や、なすべきことを説明したいと思います。 Webアプリケーション発注者に脆弱性に対する責任はあるか そもそも非常に基本的な前提として、Webアプリケーションの脆弱性(SQLインジェクションなど)に対する最終的な責任は誰(どの会社)にあるかを考えてみます。具体的には、インターネット上のWebサイトを運営している、あるいはWebアプリケーションョンをパッケージソフトウェアとして市販しているが、開発は外部の開発会社に委託しているケースで、セキュリティ事故などが発生してお客様(Webサイトのユーザ、パッケージソフトの購入者)に迷惑を掛けた場合、その責任は誰にあるかということです。 結論から言えば、この責任はWebアプリケーションの発注者にあり
ご挨拶 2008年4月にセキュリティコンサルティング会社として独立いたしました。 Webアプリケーションのセキュリティは2005年以降非常に注目されるようになりましたが、現実のWebサイトはまだまだ危険な状態が続いています。一つには、開発者がとても忙しいために、セキュリティの勉強をしたくても出来ない現状があります。一方、SQLインジェクション攻撃を中心とした攻撃は拡大の一途をたどっており、もはや、個人の努力で対応できるような状況ではありません。 弊社は、現実のサイトに対する診断から始まり、開発者の教育、安全なアプリケーションを構築するためのプロセス、発注の方法など、Webアプリケーションの構築全般から、安全なWebサイト構築のお手伝いをさせていただきます。
HASHコンサルティング株式会社はWebアプリケーションセキュリティのエキスパートです。上流の発注仕様、開発ガイドラインから、開発中のレビュー参加、脆弱性検査、WAFによる防御までをご提供します
このページを最初にブックマークしてみませんか?
『ホーム - HASHコンサルティング株式会社』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
