トップ «前の日記(2003-11-06) 最新 次の日記(2003-11-09)» 編集

"週"記

日記?ムリっ。
半年1回の更新を目指すよう心がけます。
RSS

WebAppSec

2003|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|03|04|05|06|07|08|09|12|
2008|01|02|
2009|04|
2010|02|

履歴


2003-11-07

_ mod_paramguard

ヽRノ日記より。Apache 1.3.x / 2.0.x 用

システム側でどうにか守ろうとするのはいいんですが、(もちろんAppShieldでも)全てを完璧に守れるわけではないので、穴の無いアプリケーションを作るようにするもの忘れずに。

_ The Anatomy of Cross Site Scripting

Cross site scripting (XSS) flaws are a relatively common issue in web application security, but they are still extremely lethal. They are unique in that, rather than attacking a server directly, they use a vulnerable server as a vector to attack a client. This can lead to extreme difficulty in tracing attackers, especially when requests are not fully logged (such as POST requests). Many documents discuss the actual insertion of HTML into a vulnerable script, but stop short of explaining the full ramifications of what can be done with a successful XSS attack. While this is adequate for prevention, the exact impact of cross site scripting attacks has not been fully appreciated. This paper will explore those possibilities.

本日のツッコミ(全5件) [ツッコミを入れる]
_ みゃー (2003-11-07 15:16)

そこが一番大変なトコロ〜♪

_ 金床 (2003-11-08 00:52)

いや、大変じゃないっすよ。むしろシステム側で守る方が面倒。

_ bun (2003-11-08 15:29)

システム側で守れば開発者は楽。開発者ががんばれば管理者は楽。

_ やまにょん (2003-11-09 16:24)

完全なプログラムがあれば最高ですねー。しかし管理者は財政層・政治層・宗教層の影響によりやはり忙しく動き回ることになると思われます。(苦笑

_ そのだ (2003-11-10 11:52)

開発者ががんばる方がぜんぜんお金かからないのに(苦笑)。

お名前:
E-mail:
コメント:

投稿する前にチェックボックスをチェックしてください


無料アクセス解析