Webセキュリティの個人的なメモ
タイトル通り、webセキュリティのメモ書き。
参考
- 安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構*1
- 第1回■ぜい弱性がなくならない本当の理由(わけ)(3ページ目) | 日経 xTECH(クロステック)
- [HotFix Report] セキュリティ用語−セッション・ハイジャック(session hijack)
もろもろ
- SQL Injection (SQL インジェクション)
- データの中にこっそりSQLを書いて、こっそり入れたSQL文の直前に「'」とかでエスケープして、こっそり入れたSQL文を実行させますよっと
- OS Command Injection (OS コマンド インジェクション)
- CGIとかの中に、openとかexec,system関数を使ってるとき、入力値をそのまま入れてるとコマンドが実行されちゃうってやつ。
- パス名パラメータの未チェック/Directory traversal (ディレクトリ・トラバーサル)
- ../../etc/httpd/httpd.conf とかで設定ファイルとかが覗けちゃう物。
- セッションIDの推測/(Session Hijackの一つ)
- セッションIDが推測されやすい場合、許可してなのにログインとかが出来ちゃうよんって事。例えばsess_1,sess_2と順番に渡してる場合、sess_3番目でログインできたり。
- セッションIDの盗用/(Session Hijackの一つ)
- tcpdump とかで packet sniff(パケットスニフ) して、他人のセッションを読み取って、勝手にログインする。
- Session Fixation (セッションIDの固定化)/(Session Hijackの一つ)
- あらかじめ攻撃者はセッションIDを取得し、ユーザにそのセッションIDを埋め込ませて、利用させる。器用なこって…
- XSS (クロスサイト・スクリプティング)
- webページとかメールに偽のURLを埋め込み、利用させていろいろ搾り取る。
- CSRF (クロスサイト・リクエスト・フォージェリ)
- 偽サイトを作って、セッションとかを取る。IPAの資料がわかりやすいです。
- HTTP Header Injection (HTTP ヘッダ・インジェクション)
- Requestに何かを埋め込む?よくわからない。亜種に「HTTPレスポンス分割(HTTP Response Splitting)」ってのがあるみたい
- メールの第三者中継/Mail Header Injection(メールヘッダー・インジェクション)
- Mailフォームに、メールヘッダーを仕込む方法。結構あるし、spamの中継とかになってる事がある。
- アクセス制御や認可制御の欠落
- 簡単に言えば「管理画面やけど、ログインせんでも見れたで…」
後でまた書く
*1:あっちこっちに飛ばされて着いた所。一ページに納めてくれぃ
NiCocoa 0.0.3.5a
とりあえず、0.0.3.5です。
変更点は下記の通り、
- Infoパネルのサイズを変えると、表示がずれるバグ修正(match to text field on infomation panel.)
- 動画のサイズに合わせるメニュー「Fit to movie size」を作成。当たり前ですが動作します。(fix size as movie to window)
- 「Movie」メニューを追加。ダウンロード状況を表示しているwindowの表示/非表示を操作します(Add Download menu)
ダウンロード
ダウンロード | http://idisk.mac.com/evelinae-Public?view=webからNiCocoa v0.0.3.5a.dmgをダウンロードして下さい |
md5 | 90be278ed3247ae5802e9cb9adc49987 |
shasum | c61aad8ca08d5360a9c82ff076f4107b25370ca7 |
今後の予定は、どうしましょ。とりあえず、前回のまでのは次のバージョンへ引き継ぎ。
多分、0.0.3.x系はこれが最後。次は0.0.4.xに移動しますよっと。UIから見直してるので、リリースは多分来年になるかと。
svnで取得できるけど、今サーバが(ぽかやらかしたので)不安定です。来週まで待って下さいな m(_ _)m