読者です 読者をやめる 読者になる 読者になる

クレジットカード

以前会社にいたときは、社員賞にくっついてきていたが
これはWeb1.0のにおいが・・。
私も昔はそんなサイトを作っていた。

で、このサイトに名前を書くところがあったりメールアドレスを書くところがある。

 (ただし、個人情報等の取り扱いには十分注意し、個人が特定できるような内容での掲示はいたしません。)

とかいてあるが、いやいやいや。個人情報の取り扱いには十分注意します。と読み取れるが、
残念ながら、このシステムにはセキュリティホールがある。
赤の他人に書き込んだ情報を抜き取られる脆弱性が存在する。

しかしソースを読んでみると、汚いなぁ。人のことは言えないが。
私の作ったWeblogシステムもセキュリティーホールは存在するんだろうか・・・・。
ちょっと考えてみる。自分で自分のミスを公開してえらい目にあいたくないが・・。
Webアプリケーション開発になると、相当大変。
http://www.atmarkit.co.jp/fsecurity/rensai/webhole01/webhole01.html
が役に立つ。

種類 説明
Forceful Browsing 対応している。管理者権限のところは微妙。一応対応しているが・・。
Path Traversal 対応している。
SQL Injection SQLを使わずに実装できるように、DB制御機能まで実装した。
セッションハイジャック そもそもセッション機能を実装していない。
Sniffer 対応していない。Basic認証のまま
Session Fixation セッション機能を実装していない
エラーメッセージ PHPからエラーが出ないようにソフトウェアで吸収しているつもり
Back Door この前対応した。
XST なんとかしないと・・。http://www.cgisecurity.com/whitehat-mirror/WH-WhitePaper_XST_ebook.pdf

以前購入した、

PHPサイバーテロの技法―攻撃と防御の実際

PHPサイバーテロの技法―攻撃と防御の実際

が大変役に立った。

もっともバグは量産しているが。
http://ymlabo.ddo.jp/~ymlab/mantis/view_all_bug_page.php
password user ともに guest