ページ内リンク クッキーとセッション クッキー セッション セッションへの攻撃 セッションハイジャック クッキーデータの流出によるセッションIDの流出 ッション固定化攻撃によるセッションIDの流出 盗聴によるセッションI […]
ページ内リンク データベースのセキュリティーの考え方 データベースへのアクセス認証ファイル データベースへの攻撃 SQLインジェクション(SQL Injection) セカンドオーダーSQLインジェクション SQLインジ […]
ページ内リンク フォームとURL セマンティックURL攻撃 フォームとセマンティックURL攻撃の例 セマンティックURL攻撃の防御策 クロスサイトスクリプト攻撃(XSS) クロスサイトスクリプト攻撃(XSS)の防御策 ク […]
ページ内リンク ファイルのアップロードや読み込み ファイル名による攻撃 ファイル名をリネームする防御策 ファイル名にパス情報を含める攻撃 ファイル名のチェックによる防御策 ファイルへアクセスされる攻撃と防御策 ファイルの […]
ページ内リンク エスケープとは 出力エスケープの三段階 出力の識別 出力のエスケープ エスケープされたデータとそうでないデータの区別 エスケープとは POINT エスケープは出力先に合わせてデータを適切な形にすること エ […]
ページ内リンク フィルタリングとは 入力フィルタの三段階 入力の識別 入力のフィルタ フィルタはホワイトリスト方式 フィルタで無効なデータを修正しない フィルタされたデータと汚染リスクがあるデータの区別 フィルタリングと […]
PHPの危険な関数 POINT 使用に注意が必要な関数がある PHPでは非常に多くの予め用意された組み込み関数があります。これらの関数の中には使用に注意が必要な関数があります。誤った使用方法によりアプリケーションの脆弱性 […]
適切なPHPディレクティブの構成(php.ini) POINT PHP構成ディレクティブ(php.ini)を見直す ディレクティブとは指示文のようなものです。PHPのディレクティブは、php.iniにその内容が記述されて […]
多重防御を行う POINT 多重防御を行う 冗長(無駄が多くダラダラ長い)な防護対策は有効です。常にバックアッププランを持つことが多重防御となります。1つの防護対策が無効となっても、もう1つの防護対策を持つことで、アプリ […]
ページ内リンク エスケープを行う 出力データ エスケープを行う POINT エスケープはセキュリティーの要 エスケープとは出力先に合わせてデータを適切な形に変更すること すべての出力データにエスケープを行う エスケープは […]