●クリックジャッキング
■クリックジャッキング対策 ------------------------------------------------------------
技術メモ − クリックジャッキング対策 〜 X-FRAME-OPTIONS について
http://www.jpcert.or.jp/ed/2009/ed090001.pdf
CERTの情報。apacheの記述方法があります。
javascript - クリックジャック殺しなbookmarklet
http://blog.livedoor.jp/dankogai/archives/51184669.html
小飼弾さん
■Webアプリ ------------------------------------------------------------
第4回 “セキュアなWebアプリ”に立ちはだかる課題
http://www.atmarkit.co.jp/fsecurity/rensai/talk04/talk01.html
Webアプリケーションの脆弱性対策は、おおむね以下のように分類できます。
1. 開発時に脆弱性を作り込まないようにする
2. 開発後の脆弱性検査を行う
3. ネットワーク攻撃防御/検知システム(IDS/IPS/WAF)と関連サービスを利用する
4. ログ取得および関連サービスを利用する
これらのやり方について簡単に書いています。
第1回 [これはひどい]IEの引用符の解釈
http://www.atmarkit.co.jp/fcoding/articles/webapp/01/webapp01a.html
ネットエージェント株式会社のはせがわようすけさん。
具体的な攻撃手法が出ていて面白いです。
HTMLの属性値を生成する場合には、
* 属性値そのものを引用符でくくる
* 属性値に含まれる引用符はエスケープして、「"」のように文字実体参照などで表す
シングルクォーテーションかダブルクォーテーションで囲むのが普通かと思っていましたが、バッククォーテーションでもIEの場合は動作するんですね。その問題点について書かれています。
第7回■文字エンコーディングが生み出すぜい弱性を知る
http://itpro.nikkeibp.co.jp/article/COLUMN/20090223/325337/
徳丸さん。問題点の指摘があります。
perl - EncodeでXSSを防ぐ
http://blog.livedoor.jp/dankogai/archives/51184112.html
小飼弾さんの記事。上記の問題点の対策方法が出ています。いい記事ですねー。
セッションIDが視認できると問題がある?
http://bakera.jp/ebi/topic/3538
■DB ------------------------------------------------------------
SQLインジェクション攻撃はDB上の任意データを盗み出す
DBIx::Class::ResultSetのsearch_literalをSQLインジェクションで突破
http://bakera.jp/ebi/topic/3537
■その他 セキュリティ関連 ------------------------------------------------------------
Bluetoothで山手線の乗降パターンを追跡してみた
http://takagi-hiromitsu.jp/diary/20090301.html#p01
高木さんのブログ。
ドアノブを握ると個人認証、解錠するシステム
クラウドに対する“過剰な”セキュリティ不安を払拭しよう
[ARPスプーフィング]他のマシンあての通信を乗っ取り,監視強化が先決
http://itpro.nikkeibp.co.jp/article/COLUMN/20090225/325452/?ST=security
ARPスプーフィングを検出するにはサーバーやルーターを監視する手段がある。さくらインターネットでは,まず監視サーバーを設置し,定期的にデフォルト・ゲートウエイのIPアドレスあてにARPで問い合わせを投げることにした。複数の機器から応答があったら,管理者に警告する。また,デフォルト・ゲートウエイのルーターのARPテーブルを監視し,「同じMACアドレスに関連付けられたIPアドレスが複数ある」,「複数のIPアドレスのMACアドレスが一度に変化した」場合などは ARPスプーフィングの疑いがある。この場合はARPテーブルのログを分析し,攻撃元のサーバーをネットワークから切り離す。
Windows 7のネットワーク機能とセキュリティ強化ストレージを見てみよう
http://itpro.nikkeibp.co.jp/article/COLUMN/20090303/325881/?ST=win&P=1
- Windows XPの「簡易ファイル共有」をよりセキュアにした「ホームグループ」
- 無線LANやUSBメモリーのセキュリティ機能にも改良
[BGP経路ハイジャック]誤った経路に導く,難しい根本対策の徹底
http://itpro.nikkeibp.co.jp/article/COLUMN/20090225/325481/?ST=security