booklog.jp

Wordsメモ
脆弱性、パスワード、SQLインジェクション、XSS、CSRF、ファイアウォール、、HTTPS、安全なウェブサイトの創り方、JavaScript、IPA、クッキー

tipsメモ
○ウェブサイトの侵入経路は二種類。
・ソフトウェアの脆弱性を悪用
・認証を突破

○2012パソコン遠隔操作事件
→CSRF。2ちゃんねるに投稿したページにJavaScriptを仕込み、犯行予告を掲示板に投稿させた。
・投稿したのは被害者のPC
→捜査当局は投稿元のIPアドレスを過信し誤認逮捕へ。

○XSS
　→意図しないJavaScriptが実行される。
・JavaScriptからクッキーにアクセスできる
→クッキーを盗めなくてもウェブページの情報を盗める
→ウェブブラウザからは実行されたJavaScriptがどこに配置されているか判別できない
→HTMLのエスケープ対策等の必要あり

メモ
日経コンピュータのウェブセキュリティ関連の連載をまとめた本。
エンタープライズ向けの実例が多い。
SQLインジェクションが比較的多い。