wasbook の XSS のところを読んでいて、自分の知識の足りなさ、理解の浅さを思い知った。ぜんぜんダメだったのだなーと。しかしここはポジティブシンキングやで！の精神で頑張って勉強して知識と技術を身に付けていこう。レースゲームにおける「ゴースト」の…

技術書・専門書（どちらがより適切な呼び名なんだ？）を読んでいるとき、読むのが遅いので一気に読み終えることができず、時間がかかるということは読んだそばから内容を忘れてしまうので覚えるためにマーカーで線を引いてブログに書いている。んだけど毎度…

Webアプリケーションの入力には、 HTTP リクエストとして渡されるパラメータ (GET、POST、クッキーなど) があります。 クッキーやヘッダなども入力である == 脆弱性がないか注意、意識を忘れずに 文字エンコーディング 文字エンコーディングに起因する脆弱性…

4章は長いので節ごとにわけて書かないと破綻しそう。 脆弱性の大分類 出力時（インジェクション系） 処理時（認証認可、 CSRF、ディレクトリトラバーサル） インジェクション系の脆弱性は共通の原理に基づく SQL インジェクション脆弱性が発生する原因は、デ…