クレジットカード
以前会社にいたときは、社員賞にくっついてきていたが
これはWeb1.0のにおいが・・。
私も昔はそんなサイトを作っていた。
で、このサイトに名前を書くところがあったりメールアドレスを書くところがある。
(ただし、個人情報等の取り扱いには十分注意し、個人が特定できるような内容での掲示はいたしません。)
とかいてあるが、いやいやいや。個人情報の取り扱いには十分注意します。と読み取れるが、
残念ながら、このシステムにはセキュリティホールがある。
赤の他人に書き込んだ情報を抜き取られる脆弱性が存在する。
しかしソースを読んでみると、汚いなぁ。人のことは言えないが。
私の作ったWeblogシステムもセキュリティーホールは存在するんだろうか・・・・。
ちょっと考えてみる。自分で自分のミスを公開してえらい目にあいたくないが・・。
Webアプリケーション開発になると、相当大変。
http://www.atmarkit.co.jp/fsecurity/rensai/webhole01/webhole01.html
が役に立つ。
| 種類 | 説明 |
|---|---|
| Forceful Browsing | 対応している。管理者権限のところは微妙。一応対応しているが・・。 |
| Path Traversal | 対応している。 |
| SQL Injection | SQLを使わずに実装できるように、DB制御機能まで実装した。 |
| セッションハイジャック | そもそもセッション機能を実装していない。 |
| Sniffer | 対応していない。Basic認証のまま |
| Session Fixation | セッション機能を実装していない |
| エラーメッセージ | PHPからエラーが出ないようにソフトウェアで吸収しているつもり |
| Back Door | この前対応した。 |
| XST | なんとかしないと・・。http://www.cgisecurity.com/whitehat-mirror/WH-WhitePaper_XST_ebook.pdf |
以前購入した、
- 作者: GIJOE
- 出版社/メーカー: ソシム
- 発売日: 2005/11
- メディア: 単行本
- 購入: 32人 クリック: 340回
- この商品を含むブログ (82件) を見る
もっともバグは量産しているが。
http://ymlabo.ddo.jp/~ymlab/mantis/view_all_bug_page.php
password user ともに guest
