三井物産セキュアディレクション株式会社
テクニカルサービス事業部
コンサルタント
(Illustrated by はるぷ)
 |
セミナー申し込みフォームがスパムの踏み台? 星野君のWebアプリほのぼの改造計画(1) 念願のWeb担当に異動した星野君。最初の仕事はセミナーのWeb申し込みフォームを3日で作ることだった(2005/10/15) ・セミナー申し込みフォームを3日で作れ! ・Webサーバはどこだろう? ・Web申し込みフォームなんて簡単ですよ ・スパムの踏み台は想定外!? |
|
誰でもWeb管理画面に入れる気前のいい会社 星野君のWebアプリほのぼの改造計画(2) 星野君に与えられた次なる指令は……仕事がなかった。しかたなく「Web管理ツール」を調べてみると……(2005/11/19) ・仕事がない! ・サーバ上にある「admin」フォルダの謎 ・「admin」フォルダを封鎖せよ ・SQLインジェクション、発見! ・助けて! まこと先輩 ・Webアプリ改造計画発動−SQLインジェクション編 |
|
Webアプリ、入力チェックで万事OK? 星野君のWebアプリほのぼの改造計画(3) 問い合わせフォームを作成した技術部はクロスサイトスクリプティング対策は万全だという。しかし検査ツールを使ってみると……(2005/12/22) ・新しいサービスを始める前に新しいWebサーバが欲しいな ・ほかのWebアプリケーションもささっと検査してよ ・Webアプリケーション検査ツールが必要みたいだ ・星野君、HTTPリクエストを“ハック”する ・入力チェックと画面遷移管理をしているから大丈夫でしょ ・星野君、牧野さんにクロスサイトスクリプティングを仕掛ける |
|
まこと先輩と星野君とCSRFの微妙な関係 星野君のWebアプリほのぼの改造計画(4) 顧客向けのWebアプリが完成し、納品に向けてセキュリティに関する打ち合わせを。そこには“あの人”も出席するかもしれない(2006/1/28) ・Webアプリケーション検査も手慣れてきました ・ついに“あの人”に会えるのかな? ・星野君の検査には見落としがあります! ・クロスサイトリクエストフォージェリって何だ? ・Webアプリ改造計画発動−CSRF編 |
|
Flashで作ったゲームも攻撃対象になるんです! 星野君のWebアプリほのぼの改造計画(5) 星野君の趣味はFlashでゲームを作ること。ところが、このゲームのせいで星野君の休日がどんよりしたものに……(2006/3/11) ・できたてのFlashゲームであり得ない高得点連発 ・Flashゲームで不正行為し放題だったわけは ・ディレクトリトラバーサルは直せても解決に至らず ・ゲームが気になりすぎて背後のあの人に気が付かず ・ほとんど作り直しだー |
|
Cookie Monster襲来! 戦え、星野君 星野君のWebアプリほのぼの改造計画(6) 「Web管理システムにログインできない!」と町田さんの不機嫌な声。調べてみるとWebブラウザに謎のCookieがセットされている(2006/4/15) ・おかしなCookieがセッション管理を邪魔している ・Cookieにはdomain属性が付きものだ ・Cookie Monsterに襲われたFireFox ・困ったときのまこと先輩……なんだけど ・困ったときの高橋さんによる取りあえずの対策 |
|
公開中のHTMLファイルがごっそり消失!? 星野君のWebアプリほのぼの改造計画(7) 公開中のWebコンテンツが突然見えなくなった。Webサーバを調査すると、あやしい変数がCGIに渡されていた(2006/5/27) ・あっ、ファイルがごっそりなくなっている! ・うっかりログインしてしまうと、犯行の痕跡が消える!? ・OSコマンドインジェクションで消されたファイル ・どこからもリンクされていないのに、なぜ不正アクセスが |
|
メールアドレスの登録チェックが、余計なお世話に? 星野君のWebアプリほのぼの改造計画(8) お客さんのショッピングサイトのテストを任された星野君。脆弱性がないWebアプリケーションだと思ったのに……(2006/7/22) ・脆弱性はなかったと思ったのに ・メールアドレスを重複して登録できないってことは ・重複させたくなければ、重複を許容すればいい? ・不必要情報よりも、もっと危険な…… |
|
隠されていたSQLインジェクション 星野君のWebアプリほのぼの改造計画(9) 赤坂さんに指摘されたもう1つの「危険な脆弱性」とは? 隠された脆弱性を見つけ出せ!(2006/8/26) ・赤坂さんがSQLインジェクションを見破った手法 ・サブクエリによって引き起こされるSQLインジェクションの被害 |
|
マルチバイトの落とし穴 星野君のWebアプリほのぼの改造計画(10) 今日も赤坂さんとお勉強。ちゃんと対策されているようにみえるのに、こんな抜け穴があるなんて!(2006/9/23) ・はい、クロスサイトスクリプティングやってみせて! ・「%82」のなぞ ・半端なマルチバイト文字への対策方法 |
|
安全なWebアプリケーションの実現に向けて 星野君のWebアプリほのぼの改造計画(終) セキュリティの道に終わりはない! セキュアなWebアプリケーションを作るために必要なことを、もう一度復習してみよう(2006/10/28) ・セミナーの講師はあの人?! ・検査項目をしっかり定義 ・ユーザー視点では問題が見えてこない ・Webアプリケーションセキュリティに終わりはない! |
■番外編
|
Flashとポリシーファイルの密接なカンケイ 星野君のWebアプリほのぼの改造計画 番外編(1) 赤坂さんは星野君の担当する仕事に興味津々。Flashでもセキュリティ対策はきっちりやらないと!(2007/1/30) ・Flashで外部サイトとの連携は簡単? ・Flashとポリシーファイルの関係 ・ポリシーファイルが情報漏えいのきっかけになる?! ・ポリシーファイルの影響を個別ディレクトリに限定する |
|
赤坂さん、Flashを攻める! 星野君のWebアプリほのぼの改造計画 番外編(2) すっかりFlashの魅力に取りつかれた赤坂さん。夜通し検証した結果、不思議な挙動を見つけてしまいました……(2007/3/9) ・Flash、こんな事ができるの?! ・ActionScriptでHTTPヘッダを操作 ・赤坂さん、ダークサイドへ? |
|
Flash完成! でも最後の仕上げを忘れずに 星野君のWebアプリほのぼの改造計画 番外編(終) 星野君のFlashがとうとう完成! 早速赤坂さんがチェックを始めましたが、ただ見るだけでは飽き足らないようです (2007/4/13) ・星野君、Flash完成! 赤坂さんは早速…… ・デバッグコードを残すのはFlashでも危険 ・いろいろできるFlashだからこそ |
| Profile |
| 杉山 俊春(すぎやま としはる) 三井物産セキュアディレクション株式会社 テクニカルサービス事業部検査グループ コンサルタント セキュリティコンサルタントとして、主にWebアプリケーションのセキュリティ検査などに従事している。大手就職活動支援サイト、ショッピングサイトなどの検査実績を持つ。 |
 |
Security&Trust記事一覧 |
ホワイトペーパー(TechTargetジャパン)
Security&Trust フォーラム 新着記事
- この脆弱性対策エンジンは“永遠に完成しない” (2010/3/9)
パターンファイルに頼らず防御する「要の技術」は、いまも完成にはいたっていない。その理由とは―― - Gumblarがあぶり出す 「空虚なセキュリティ対策」 (2010/3/1)
ガンブラーの脅威は、組織の構造や外部委託問題をあぶり出します。そのセキュリティ対策、建前論になっていませんか? - 決済アプリのセキュリティ基準、PA-DSSとは (2010/2/24)
“ペイメントアプリケーション”のセキュリティ基準を定めたPA-DSS。厳密に定められた14の要件を、PCI DSSと対比させつつ解説します - 「鍵は“J”の中にあるよ」CTF by ダークナイト解答編 (2010/2/22)
ダークナイトからの挑戦状、いかがだっただろうか。WiresharkにNetworkMiner、WinRARを駆使し、“J”に隠された秘密を解き明かせ!
 |
|
|
|
|
RSSフィード 
@IT 新着記事
スキルアップ/キャリアアップ(JOB@IT)
スポンサーからのお知らせ
- - PR -
 |
「いつかは壊れるサーバ」そんな故障に 迅速で安価に手軽に対応する方法とは? New! |
 |
「特権ユーザー」の事件を防げ! 万能権限を持つユーザーの管理方法とは? New! |
 |
仮想環境の構築とデータ保護の特効薬?! 実績と信頼性の高いパッケージで安心運用 |
 |
仮想環境のバックアップもこれまでどおり 「まるごと取ってまるごと戻す」簡単運用 |
 |
おばかアプリ選手権、第4弾開催中!! ムダにカッコよくてくだらない作品求ム! |
 |
社内ファイルサーバを“クラウド”に統合 VPN直結「クラウド型ストレージ」を紹介 |
 |
その数、なんと400台以上! グループ内 サーバの「統合管理」によるメリットは? |
 |
美人!? まあまあ? 気になる いやし系!! PV急増で「美人時計」がとった手段とは? |
 |
進化を続ける富士通ストレージETERNUS DX 製品開発者の自信を裏付けるものとは何か |
 |
運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
- - PR -
お勧め求人情報
**先週の人気講座ランキング**
〜CCNA編〜
| ◆ | TomcatやJBossなどAPサーバ環境に関する 情報を集約! “業務”用APサーバ大百科 New! |
| ◆ | 一気に解説! 最新のクラスタストレージ 「RAIDを超えたストレージ基準」……など New! |
| ◆ | クラウド的ユーザー体験の変化は脅威か? 仮想化技術を使いこなす運用管理術を紹介 New! |
| ◆ | 上司や部下、部署内メンバーとの情報共有 を“ガラッ”と変えるコラボツールとは? New! |
| ◆ | おばかアプリ選手権、第4弾開催中!! ムダにカッコよくてくだらない作品求ム! |
| ◆ | 社内ファイルサーバを“クラウド”に統合 VPN直結「クラウド型ストレージ」を紹介 |
| ◆ | Twitterのアカウントはなぜ突破された? メールによる新手の攻撃手法とその対策 |
| ◆ | もう仮想化のお試しフェイズは終わりだ! Hyper-V 2.0が基幹システムも仮想化 |
| ◆ | 美人!? まあまあ? 気になる いやし系!! PV急増で「美人時計」がとった手段とは? |
| ◆ | クライアント企業から求められる人材 ⇒IT技術と経営戦略を併せ持つ「戦略家」 |
| ◆ | .NET編集長が実践する「技術情報検索術」 サンプル・コードを簡単に探す“技”は? |
| ◆ | 業務効率と情報セキュリティ対策を両立! 手間なく確実に機密情報を守る方法とは? |
| ◆ | 進化を続ける富士通ストレージETERNUS DX 製品開発者の自信を裏付けるものとは何か |
| ◆ | 運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
| ◆ | 【CTC事例】約30の基幹システムを統合! 膨大なバッジジョブを制御した方法は? |
| ◆ | 仮想化すればコストは削減できるか? 仮想化に必要な「3つの視点」を解説する |
| ◆ | その数、なんと400台以上! グループ内 サーバの「統合管理」によるメリットは? |
Copyright(c)
2000-2010
ITmedia Inc.
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。