インターãƒãƒƒãƒˆè²©ä¿ƒãƒ¡ãƒ¢ æºå¸¯ã‚µã‚¤ãƒˆã§session(セッション)を使ã†æ–¹æ³•
通常ã€session_start()ã™ã‚‹ã¨ã‚¯ãƒƒã‚ーã«ã‚»ãƒƒã‚·ãƒ§ãƒ³IDãŒç™ºè¡Œã•ã‚Œã€æ¬¡å›žã‚¢ã‚¯ã‚»ã‚¹ã—ãŸæ™‚ã«ã‚¯ãƒƒã‚ーã®ä¸ã«ã‚»ãƒƒã‚·ãƒ§ãƒ³IDãŒã‚ã‚Œã°ã€ã‚»ãƒƒã‚·ãƒ§ãƒ³ã‚’èªã¿è¾¼ã‚“ã§ãƒ‡ãƒ¼ã‚¿ã‚’ä¿æŒã§ãる。ã—ã‹ã—ï¼°ï¼£ã¨é•ã„ã€æºå¸¯ã§ã¯cookie(クッã‚ー)ãŒä½¿ãˆãªã„機種ãŒã‚る。通常ã®æ–¹æ³•ã§ã¯æºå¸¯ã§ã‚»ãƒƒã‚·ãƒ§ãƒ³ãŒä½¿ãˆãªã„ã®ã 。 ã“れを解決ã™ã‚‹æ–¹æ³•ã¨ã—ã¦URLã«ã‚»ãƒƒã‚·ãƒ§ãƒ³IDを埋ã‚込むã¨ã„ã†æ–¹æ³•ãŒã‚る。クッã‚ーã§ã¯ãªãGETã‚„POSTã§ã‚»ãƒƒã‚·ãƒ§ãƒ³IDã‚’æŒã¡ã¾ã‚ã™ã®ã§ã‚る。ãŸã ã€å…¨ã¦ã®ãƒªãƒ³ã‚¯ã‚„フォームタグã«ã‚»ãƒƒã‚·ãƒ§ãƒ³IDを埋ã‚込むã®ã¯éª¨ãŒæŠ˜ã‚Œã‚‹ã ã‚ã†ã€‚ãã†ã„ã†æ™‚ã¯php.iniã®session.use_trans_sidã‚’Onã«ã™ã‚Œã°ã„ã„。ãã†ã™ã‚‹ã¨è‡ªå‹•çš„ã«å…¨ã¦ã®ç›¸å¯¾ãƒªãƒ³ã‚¯ã«ã‚»ãƒƒã‚·ãƒ§ãƒ³IDãŒåŸ‹ã‚è¾¼ã¾ã‚Œã‚‹ã€‚ ã—ã‹ã—ã€ï¼°ï¼£ã¨æºå¸¯ã¨åŒã˜ã‚¹ã‚¯ãƒªãƒ—トã§å‹•ã‹ã—ã¦ã„ã‚‹å ´åˆã€ï¼°ï¼£ã§ã‚‚セッションIDãŒåŸ‹ã‚è¾¼ã¾ã‚Œã¦ã—ã¾ã†ã¨ã‚»ãƒƒã‚·ãƒ§ãƒ³IDãŒä¸¸è¦‹ãˆ
ã¯ã³ã“る「インジェクション系ã€ã®ãœã„弱性:ITpro
Webアプリケーションã®ãœã„弱性を示ã™ç”¨èªžã¨ã—ã¦ï¼Œã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆãƒ»ã‚¹ã‚¯ãƒªãƒ—ティング,SQLインジェクションã¨ã„ã£ãŸè¨€è‘‰ã®èªçŸ¥åº¦ã¯ã‹ãªã‚Šé«˜ã¾ã£ãŸã€‚ブãƒã‚°ãƒ»ã‚µã‚¤ãƒˆãªã©ã§ã‚‚活発ã«è°è«–ã•ã‚Œã¦ã„る。ã—ã‹ã—,Webサイトã®å®Ÿæ…‹ã¯ã©ã†ã ã‚ã†ã‹ã€‚ ç†è€…ã®æ‰€å±žã™ã‚‹äº¬ã‚»ãƒ©ã‚³ãƒŸãƒ¥ãƒ‹ã‚±ãƒ¼ã‚·ãƒ§ãƒ³ã‚·ã‚¹ãƒ†ãƒ ã§ã¯æ˜¨å¹´ï¼ˆ2006年),ãœã„弱性診æ–を実施ã—ãŸWebサイトã®çµ±è¨ˆæƒ…å ±ã€Œ2007年版 Webアプリケーションãœã„弱性傾å‘ã€ã‚’発表ã—ãŸã€‚ã“ã‚Œã«ã‚ˆã‚‹ã¨ï¼Œãƒ‘ソコンå‘ã‘Webサイトã®48%ã«è‡´å‘½çš„ãªãœã„弱性ãŒè¦‹ã¤ã‹ã£ãŸã€‚ã“ã®ã†ã¡ãƒ¯ãƒ¼ã‚¹ãƒˆ1ä½ã¯ã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆãƒ»ã‚¹ã‚¯ãƒªãƒ—ティングã§56%,2ä½ã¯SQLインジェクションã§11%ã¨ï¼Œã©ã¡ã‚‰ã‚‚インジェクション(注入)系ã®ãœã„弱性。ã“れらã®ãœã„弱性をæŒã£ãŸå±é™ºãªã‚µã‚¤ãƒˆã¯ä¾ç„¶ã¨ã—ã¦å˜åœ¨ã™ã‚‹ã®ãŒå®Ÿæƒ…ã§ã‚る。 ã“れらWebアプリケーションã®ãœã„弱性ãŒã‚ã¾ã‚Šãªããªã‚‰ãªã„ç†ç”±ã¯ã„ãã¤ã‹ã‚ã‚‹ãŒï¼Œä»¥å‰ã¯ã€Œãœã„
ソフトウェアãƒã‚°ã®æ¨™æº–辞書ãŒå®Œæˆé–“è¿‘--æ¥ç•Œå†…ã§ã®ç”¨èªžçµ±ä¸€ã«æœŸå¾…
ãƒãƒ¼ã‚¸ãƒ‹ã‚¢å·žã‚¢ãƒ¼ãƒªãƒ³ãƒˆãƒ³ç™º--米国土安全ä¿éšœçœï¼ˆDHS)ã®è³‡é‡‘æä¾›ã«ã‚ˆã‚‹ã€ã‚»ã‚ュリティ関連ãƒã‚°ã‚’åŽéŒ²ã™ã‚‹æ¨™æº–çš„ãªã€Œè¾žæ›¸ã€ã‚’作æˆã™ã‚‹è¨ˆç”»ãŒå½¢ã«ãªã‚Šã¤ã¤ã‚る。åŒè¨ˆç”»ã®æŽ¨é€²ãƒ¡ãƒ³ãƒãƒ¼ãŒç±³å›½æ™‚é–“3月1æ—¥ã«ç™ºè¡¨ã—ãŸã€‚ ã“ã®å–り組ã¿ã¯ã€ŒCommon Weakness Enumeration(CWE)ã€ã¨å付ã‘られã€ãƒãƒƒãƒ•ã‚¡ã‚ªãƒ¼ãƒãƒ¼ãƒ•ãƒãƒ¼ã‚„書å¼æŒ‡å®šæ–‡å—列ã®ã‚¨ãƒ©ãƒ¼ãªã©ã€ã‚½ãƒ•ãƒˆã‚¦ã‚§ã‚¢è„†å¼±æ€§ã®æ£å¼ãªãƒªã‚¹ãƒˆã®ä½œæˆã‚’目指ã—ã¦ã„る。ç¾åœ¨ä½¿ã‚ã‚Œã¦ã„るソフトウェア脆弱性ã®ç”¨èªžã¯ã€å¤šãã®ãƒ†ã‚¯ãƒŽãƒã‚¸ä¼æ¥ã‚„ã‚»ã‚ュリティä¼æ¥ã«ã‚ˆã£ã¦ç•°ãªã‚‹ãŒã€ã“ã®ãƒªã‚¹ãƒˆãŒæ¨™æº–言語ã¨ã—ã¦ç”¨èªžã®çµ±ä¸€ã«å½¹ç«‹ã¦ã‚‰ã‚Œã‚‹ã€‚ CWE計画を統括ã™ã‚‹éžå–¶åˆ©å›£ä½“MITREã®æƒ…å ±ã‚»ã‚ュリティ担当主å¸ã‚¨ãƒ³ã‚¸ãƒ‹ã‚¢Steve Christeyæ°ã¯ã€ãƒãƒ¼ã‚¸ãƒ‹ã‚¢å·žã‚¢ãƒ¼ãƒªãƒ³ãƒˆãƒ³ã§é–‹å‚¬ã•ã‚ŒãŸã€ŒBlack Hat DC 2007 Briefings & Trainingã€ã§ãƒ—レゼンテ
1
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
freeml(フリーエムエル)|新ã—ã„生活をã¯ã˜ã‚ã‚‹ç¾…é‡ç›¤
{{#tags}}- {{label}}
{{/tags}}