WEB
前回の『WEB脆弱性のインジェクションとは?』に『対策』を追記してみました。 - インジェクション(injection)の意味は、内部に何かを注入することです。 そして、WEB脆弱性のインジェクションには、以下の3つがあります。 SQLインジェクション OSコマン…
普通CGIなどWebアプリケーションは、Webページから検索のキーワード入力や個人情報の登録入力などを処理して、Webページとして出力します。 ここで、Webページへの出力処理に問題があると、そのWebページにスクリプトなどを埋め込まれてしまうことがあります…
まず、ブログ4月分をWebページに変換しました。 燈明日記(2010/04) で、最近いろいろありまして……、以下を再引用しときます。 とある書誌より引用 何か事が起こると、「さあ大変だ」と言うのが口癖になっている人がいますが、私は逆に難問がくると「これ…
HTTPは、ステートレスなので、普通は、ステートを引き継ぐセッション管理ができません。 しかし、ログインが必要なサイトでは、セッション管理がないと実現ができません。 そのために、クッキーが考案され、クッキーにステート(セッションID)を保存するこ…
◆アクセス制御の欠落と対策 アクセス制御の欠落とは、ログインが必要なサイトでは、ログイン情報によりアクセス制御を掛けますが、たとえば、そのログイン情報がメールアドレスだった場合は、他人にも知られ得る情報であり、そのような情報の入力だけでログ…
「../../」のような相対パスを使用し、システム内の任意ファイルへアクセスする攻撃手法をディレクトリ・トラバーサルと言います。 システム内のディレクトリ間を自由に横断(トラバース)できることが攻撃名称の由来で、パス・トラバーサルとも呼ばれます。…
えーと、今日、本『燈明日記』のブックマーク数が1000になりました!! アクセス数やエントリ数の割りには、ブックマーク数が少ないのですが、やっと1000になりました! これからも、皆様、よろしくお願い致します。 ちなみに、以下が『燈明日記』のブックマ…
WEB相談室は、2010/4/30をもって、諸事情により書き込み閉鎖します。 WEB相談室 2000年の2月より開設して10年を経過しましたが、昨今、OKWave、はてな、Yahoo!知恵袋が全盛で、WEB相談室の役割は終えたとの認識です。 一時は、2ch並みのアクセス数と書き…
普通、Webページの入力項目に対して入力をして、書き込みを押すと、その入力データがサーバーに送られます。 たとえば、このWebページで、入力をしないで、悪意のあるページにアクセスしたとします。 すると、それだけで悪意のある入力データがサーバーへ送…
インジェクション(injection)の意味は、内部に何かを注入することです。 そして、WEB脆弱性のインジェクションには、以下の3つがあります。 SQLインジェクション OSコマンドインジェクション HTTPヘッダインジェクション つまり、SQL、OSコマンド、HTTPヘ…
今回、セキュアなWEBの勉強ということで、HTTP Cookieをテストしてみました。 なにを今更…と思っているかもしれませんが、クッキーを知っているつもりでも、実は知らなかったりしますよ。 なのでとりあえず、以下の2つをリンクしときます。 studyinghttp.ne…
今月は配置転換の月で、場所が変われば、PCのIPアドレスやコンピュータ名が変わったりしますね。 すると、今まで動いたプログラムが動かなくなったりします。 今回、名前解決が不正なケースに遭遇したので、応急処置のWINDOWSのhostsファイルについてご紹介…
ブログ3月分をウエブページへ変換しました。 燈明日記3月
現代では、企業にとって情報漏洩が最大の恐怖です。 また、社員もメールやFAXの誤送信がリストラ評価になってしまうので恐怖です。 なので、メールやFAXを送信する時は、細心の注意が必要ですね。 しかし、めちゃ忙しいと、魔が差して誤送信をしてしまうので…
ブログ2月分をウエブページへ変換しました。 燈明日記2月
HTMLのfrom要素にtext属性のinput要素が1つの場合、submitボタンを押さなくても、テキストボックスに改行を入力した瞬間にsubmitされてしまいます。 たぶん、親切心からそういう仕様になっているのだと思いますが、submitしたくない場合もありますね。 以下…
まずは、会社での話しです。 先日、IE7が良く落ちる(異常終了)との記事を書きました。 なので、IE8にバージョンアップしたのですが、会社にはレガシーなHTMLのイントラ資産が沢山あって、IE8では表示がおかしくなるとの理由で、IE7に戻して評価してくれと…
前からの「Bシェルスクリプトのすすめ」をリメイクしてアップしました。 Bシェルスクリプト基礎文法最速マスター まとめへの登録、よろしくお願い致します。 基礎文法最速マスターシリーズのまとめ プログラミング基礎文法最速マスターまとめ はてな的プロ…
IE6からIE7に換えると、IE7は、やたらブラウジング中に異常終了します! ネットでも、結構有名なことみたいです。 対策としては、プラグインやツールバーをアンインストールや無効にすると、直ることがあると書かれていますが…全然効かないですね。 結局、IE…
前回(第6回)からすぐでましたね。「パンドラの箱」第7回。 絵文字が開いてしまった「パンドラの箱」第7回--そして舞台はダブリンから東京へ - CNET Japan この記事の著者もWG2に顔文字のユニコード化の修正案を提出して、参加するとのことですね(凄い)。…
YouTubeが採用しているストリーミングのコーデック技術「H.264」のロイヤリティ無料期間が、2015年まで延長することになりました。 広く使われているビデオエンコード技術「H.264」の特許をライセンスしているグループが、ストリーミングメディアへの無料提…
ブログ1月分をウエブページへ変換しました。 燈明日記1月 しかし、柳の下に2匹目のドジョウはいませんでしたね。 正規表現基礎文法最速マスター With Perl - 燈明日記 Perlオブジェクト基礎文法最速マスター - 燈明日記 ブックマークの数が違いすぎる…
久しぶりに出ましたね。「パンドラの箱」第6回。 しかし、いいところで終わっています。 これからどうなんだよ〜、って感じで、第7回が待ち遠しいですね! 絵文字が開いてしまった「パンドラの箱」第6回 Google・Apple提案とそのシナリオhttp://japan.cnet.c…
ルータなどネットワーク側の情報機器に接続する「マスターアダプタ」(親機)と、PCなどに接続する「ターミナルアダプタ」(子機)を電源コンセントに差し込むことで、LAN環境が構築できる。通信速度は最大90Mbps。ターミナルアダプタは最大15台まで増設でき…
HTML5では、Flash等のプラグインがなくてもビデオを再生することが可能とのことです。 すると、HTML5自体にビデオをデコードする機能(ビデオコーデック)が必要になりますね。 そのビデオコーデックにmp4のH.264を採用するか、フリーのOgg Theoraか、という…
今、ネット上は、iPadの話題でもちきりですね。 そう、iPodでなくiPadですよ! とりあえず、以下をリンクしときます。 http://www.nikkei.co.jp/news/main/20100128AT2N2701X27012010.html http://blog.livedoor.jp/dankogai/archives/51389114.html http://…
これからは、Android(グーグル携帯)の時代がきそうですね。 http://japan.cnet.com/marketing/story/0,3800080523,20407436,00.htm 現状、世界的シェアのベスト3 Symbian OS BlackBerry(RIM) Apple 現状、アメリカのシェアのベスト3 BlackBerry(RIM)…
URLの相対パスは、ドキュメントルート配下でHTMLファイルがあるところからの相対で、WEBアクセスを記述する場合に使用します。 フォルダの相対パスは、たとえば、cgi-binの実行フォルダ内のCGIプログラムがあるところからの相対で、ファイルアクセスを記述す…
デフォルトでApache2.2をインストールした状態で、もうすでにCGIが動きます。 (Perlの場合は、もちろんPerl本体がインストールされている前提ですよ) しかし、CGIの仮想フォルダと実フォルダは、以下のように httpd.conf に設定されています。 Scrip…
input要素のtype属性が"submit"や"button"の場合で、value属性の文字列を改行するには、実体参照で「 」を入れます。 <html> <body> <form> <p><input type="submit" value="aaaaa aaaaa aaaaa aaaaa"></p> <p><input type="submit" value="aaaaa aaaaa aaaaa aaaaa"></p> <p></p></form></body></html>