三井物産セキュアディレクション株式会社
テクニカルサービス事業部
コンサルタント
(Illustrated by はるぷ)
 |
セミナー申し込みフォームがスパムの踏み台? 星野君のWebアプリほのぼの改造計画(1) 念願のWeb担当に異動した星野君。最初の仕事はセミナーのWeb申し込みフォームを3日で作ることだった(2005/10/15) ・セミナー申し込みフォームを3日で作れ! ・Webサーバはどこだろう? ・Web申し込みフォームなんて簡単ですよ ・スパムの踏み台は想定外!? |
|
誰でもWeb管理画面に入れる気前のいい会社 星野君のWebアプリほのぼの改造計画(2) 星野君に与えられた次なる指令は……仕事がなかった。しかたなく「Web管理ツール」を調べてみると……(2005/11/19) ・仕事がない! ・サーバ上にある「admin」フォルダの謎 ・「admin」フォルダを封鎖せよ ・SQLインジェクション、発見! ・助けて! まこと先輩 ・Webアプリ改造計画発動−SQLインジェクション編 |
|
Webアプリ、入力チェックで万事OK? 星野君のWebアプリほのぼの改造計画(3) 問い合わせフォームを作成した技術部はクロスサイトスクリプティング対策は万全だという。しかし検査ツールを使ってみると……(2005/12/22) ・新しいサービスを始める前に新しいWebサーバが欲しいな ・ほかのWebアプリケーションもささっと検査してよ ・Webアプリケーション検査ツールが必要みたいだ ・星野君、HTTPリクエストを“ハック”する ・入力チェックと画面遷移管理をしているから大丈夫でしょ ・星野君、牧野さんにクロスサイトスクリプティングを仕掛ける |
|
まこと先輩と星野君とCSRFの微妙な関係 星野君のWebアプリほのぼの改造計画(4) 顧客向けのWebアプリが完成し、納品に向けてセキュリティに関する打ち合わせを。そこには“あの人”も出席するかもしれない(2006/1/28) ・Webアプリケーション検査も手慣れてきました ・ついに“あの人”に会えるのかな? ・星野君の検査には見落としがあります! ・クロスサイトリクエストフォージェリって何だ? ・Webアプリ改造計画発動−CSRF編 |
|
Flashで作ったゲームも攻撃対象になるんです! 星野君のWebアプリほのぼの改造計画(5) 星野君の趣味はFlashでゲームを作ること。ところが、このゲームのせいで星野君の休日がどんよりしたものに……(2006/3/11) ・できたてのFlashゲームであり得ない高得点連発 ・Flashゲームで不正行為し放題だったわけは ・ディレクトリトラバーサルは直せても解決に至らず ・ゲームが気になりすぎて背後のあの人に気が付かず ・ほとんど作り直しだー |
|
Cookie Monster襲来! 戦え、星野君 星野君のWebアプリほのぼの改造計画(6) 「Web管理システムにログインできない!」と町田さんの不機嫌な声。調べてみるとWebブラウザに謎のCookieがセットされている(2006/4/15) ・おかしなCookieがセッション管理を邪魔している ・Cookieにはdomain属性が付きものだ ・Cookie Monsterに襲われたFireFox ・困ったときのまこと先輩……なんだけど ・困ったときの高橋さんによる取りあえずの対策 |
|
公開中のHTMLファイルがごっそり消失!? 星野君のWebアプリほのぼの改造計画(7) 公開中のWebコンテンツが突然見えなくなった。Webサーバを調査すると、あやしい変数がCGIに渡されていた(2006/5/27) ・あっ、ファイルがごっそりなくなっている! ・うっかりログインしてしまうと、犯行の痕跡が消える!? ・OSコマンドインジェクションで消されたファイル ・どこからもリンクされていないのに、なぜ不正アクセスが |
|
メールアドレスの登録チェックが、余計なお世話に? 星野君のWebアプリほのぼの改造計画(8) お客さんのショッピングサイトのテストを任された星野君。脆弱性がないWebアプリケーションだと思ったのに……(2006/7/22) ・脆弱性はなかったと思ったのに ・メールアドレスを重複して登録できないってことは ・重複させたくなければ、重複を許容すればいい? ・不必要情報よりも、もっと危険な…… |
|
隠されていたSQLインジェクション 星野君のWebアプリほのぼの改造計画(9) 赤坂さんに指摘されたもう1つの「危険な脆弱性」とは? 隠された脆弱性を見つけ出せ!(2006/8/26) ・赤坂さんがSQLインジェクションを見破った手法 ・サブクエリによって引き起こされるSQLインジェクションの被害 |
|
マルチバイトの落とし穴 星野君のWebアプリほのぼの改造計画(10) 今日も赤坂さんとお勉強。ちゃんと対策されているようにみえるのに、こんな抜け穴があるなんて!(2006/9/23) ・はい、クロスサイトスクリプティングやってみせて! ・「%82」のなぞ ・半端なマルチバイト文字への対策方法 |
|
安全なWebアプリケーションの実現に向けて 星野君のWebアプリほのぼの改造計画(終) セキュリティの道に終わりはない! セキュアなWebアプリケーションを作るために必要なことを、もう一度復習してみよう(2006/10/28) ・セミナーの講師はあの人?! ・検査項目をしっかり定義 ・ユーザー視点では問題が見えてこない ・Webアプリケーションセキュリティに終わりはない! |
■番外編
|
Flashとポリシーファイルの密接なカンケイ 星野君のWebアプリほのぼの改造計画 番外編(1) 赤坂さんは星野君の担当する仕事に興味津々。Flashでもセキュリティ対策はきっちりやらないと!(2007/1/30) ・Flashで外部サイトとの連携は簡単? ・Flashとポリシーファイルの関係 ・ポリシーファイルが情報漏えいのきっかけになる?! ・ポリシーファイルの影響を個別ディレクトリに限定する |
|
赤坂さん、Flashを攻める! 星野君のWebアプリほのぼの改造計画 番外編(2) すっかりFlashの魅力に取りつかれた赤坂さん。夜通し検証した結果、不思議な挙動を見つけてしまいました……(2007/3/9) ・Flash、こんな事ができるの?! ・ActionScriptでHTTPヘッダを操作 ・赤坂さん、ダークサイドへ? |
|
Flash完成! でも最後の仕上げを忘れずに 星野君のWebアプリほのぼの改造計画 番外編(終) 星野君のFlashがとうとう完成! 早速赤坂さんがチェックを始めましたが、ただ見るだけでは飽き足らないようです (2007/4/13) ・星野君、Flash完成! 赤坂さんは早速…… ・デバッグコードを残すのはFlashでも危険 ・いろいろできるFlashだからこそ |
| Profile |
| 杉山 俊春(すぎやま としはる) 三井物産セキュアディレクション株式会社 テクニカルサービス事業部検査グループ コンサルタント セキュリティコンサルタントとして、主にWebアプリケーションのセキュリティ検査などに従事している。大手就職活動支援サイト、ショッピングサイトなどの検査実績を持つ。 |
 |
Security&Trust記事一覧 |
Security&Trust フォーラム 新着記事
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
Copyright © ITmedia, Inc. All Rights Reserved.