@kyanny's blog

My life. Opinions are my own.

Entries from 2011-05-05 to 1 day

wasbook の XSS のところを読んでいて、自分の知識の足りなさ、理解の浅さを思い知った。ぜんぜんダメだったのだなーと。しかしここはポジティブシンキングやで!の精神で頑張って勉強して知識と技術を身に付けていこう。レースゲームにおける「ゴースト」の…

技術書・専門書(どちらがより適切な呼び名なんだ?)を読んでいるとき、読むのが遅いので一気に読み終えることができず、時間がかかるということは読んだそばから内容を忘れてしまうので覚えるためにマーカーで線を引いてブログに書いている。んだけど毎度…

4. Webアプリケーションの機能別に見るセキュリティバグ (4.2 入力処理とセキュリティ)

Webアプリケーションの入力には、 HTTP リクエストとして渡されるパラメータ (GET、POST、クッキーなど) があります。 クッキーやヘッダなども入力である == 脆弱性がないか注意、意識を忘れずに 文字エンコーディング 文字エンコーディングに起因する脆弱性…

4. Webアプリケーションの機能別に見るセキュリティバグ (4.1 Webアプリケーションの機能と脆弱性の対応)

4章は長いので節ごとにわけて書かないと破綻しそう。 脆弱性の大分類 出力時(インジェクション系) 処理時(認証認可、 CSRF、ディレクトリトラバーサル) インジェクション系の脆弱性は共通の原理に基づく SQL インジェクション脆弱性が発生する原因は、デ…