気になったネタのメモ(改) |
このページはリンク元、IPアドレス等のログを取っています。 なにとぞご了承いただきたくm(__)m リンクはご自由にどうぞ。日記の各タイトルをリンク先にしてもかまいません。 ただし、逆襲リンクされたくない方は、リンクを張ったところに、わかりやすくその旨ご記述下さい。 さもなければ、必ずや逆襲リンクを行うことでしょう(^^) また、たれこみもお待ちしております。 あやしいつっこみはすべて問答無用で削除します。このページでの削除権はすべて私にあります。 |
|
■ で、webAppへの攻撃は見つけられるのか?
もうすでに、こことかこことか、なんと言っても講師の方の所とかでいろいろ盛り上がっているのであんまり書くことはないんだけど(汗 そもそも標準機能ではない、いわばオーダーメイドなアプリケーションですから、証拠がそろうかどうかは基本的にそのツールの出来不出来に左右されるからなぁ、と言うのが正直な感想。それは講演を聴く前も聞いた後も変わりませんでした。 あと、ログ機能、と言う観点から言えば、CGIの引数をデフォルトで全部ログに吐き出す、と言う至極簡単なものでも結構な情報が得られるんじゃないかと思っています。 セッションハイジャックですが、この攻撃は、条件が悪ければ検知不能なのは当然だと思います。セッションハイジャックって言うから語弊があるんじゃないかなぁ。なりすまし、って言った方がこの場合適当な気が。 つーことで、Web Appを作っている方々、設計段階からセキュアになるよう、心がけて下さいね。(実はこれが言いたかった、笑) |
|