資格

CentOS

LPIC-1を受ける

久しぶりの更新。 4月20日に、情報セキュリティスペシャリスト試験を受けてきた。 自分の知識・経験不足が嫌になった。受かっててほしいけど、落ちてたらまた秋に勉強しようと思ってる。 あと転職します。6月から石川のWeb関係の企業で働くことにな...
セキュリティ

「2013年版 10大脅威」を読む

IPAのサイトで、2013年版 10大脅威 身近に忍び寄る脅威という PDFが公開されている(こちらを参照)。 セキュリティ上の脅威に関する内容だ。 その脅威をランキングにして1~10位まで。 最初に出てくるの1位、最後に出てくるのが10位...
HTTP

Cookie(クッキー)について

Webセキュリティを勉強していると、Cookie(クッキー)という文字がよく出てくる。 Cookieの動作を理解しないままプログラムすると、脆弱性を生み出しやすい。 Cookieはセッション管理や CSRF対策などに使われる。 超大切なとこ...
PHP

PDOとプリペアド・ステートメントと静的プレースホルダ(安全なSQLの呼び出し方の補足)

「安全なSQLの呼び出し方」の補足。 今夜こそわかる安全なSQLの呼び出し方 ~ 高木浩光氏に聞いてみた - @ITを読んで、モヤっとしてたことがわかった。 SQLインジェクションについて以下の記事で勉強してたけど、まだまだ未熟。 SQLイ...
セキュリティ

データ ベースと連動したSQL文生成(安全なSQLの呼び出し方)

注意!この記事は「安全なSQLの呼び出し方」を読んで、自分なりに解釈したものになる。 セキュリティについて勉強したい人は「安全なSQLの呼び出し方」を読むほうがいいよ。 前回SQLの呼び出し方(安全なSQLの呼び出し方)で、呼び出し方の優先...
セキュリティ

SQLの呼び出し方(安全なSQLの呼び出し方)

注意!この記事は「安全なSQLの呼び出し方」を読んで、自分なりに解釈したものになる。 セキュリティについて勉強したい人は「安全なSQLの呼び出し方」を読むほうがいいよ。 前回は、リテラルとSQLインジェクション(安全なSQLの呼び出し方)で...
セキュリティ

リテラルとSQLインジェクション(安全なSQLの呼び出し方)

「安全なSQLの呼び出し方」は、「安全なウェブサイトの作り方」で取り合げた9種類の脆弱性のうち、特に SQLインジェクションについて説明したものである。 この記事は「安全なSQLの呼び出し方」を読んで、自分なりに解釈したものになる。 セキュ...
セキュリティ

SQLインジェクション(安全なウェブサイトの作り方)

前回、携帯ウェブ向けのサイトにおける注意点までで、「安全なウェブサイトの作り方」を読み終えた気になってた。 けど、一つ忘れている。 SQLインジェクションを飛ばしている。 安全なウェブサイトの作り方では、一番に「SQLインジェクション」につ...
セキュリティ

携帯ウェブ向けのサイトにおける注意点(安全なウェブサイトの作り方)

安全なウェブサイトの作り方での目次。 2.1 ウェブサーバのセキュリティ対策について 2.2 DNS 情報の設定不備 2.3 ネットワーク盗聴への対策 2.4 パスワードの不備 2.5 フィッシング詐欺を助長しないための対策 2.6 WAF...
セキュリティ

WAF によるウェブアプリケーションの保護(安全なウェブサイトの作り方)

安全なウェブサイトの作り方での目次。 2.1 ウェブサーバのセキュリティ対策について 2.2 DNS 情報の設定不備 2.3 ネットワーク盗聴への対策 2.4 パスワードの不備 2.5 フィッシング詐欺を助長しないための対策 2.6 WAF...