投稿に追記 – ほぼ全てのインジェクション攻撃を無効化/防止する入力バリデーション

RSSで購読されている方が結構いる(ありがとうございます!)のでエントリに追記したことをお知らせします。

ほぼ全てのインジェクション攻撃を無効化/防止する入力バリデーション 〜 ただし出力対策も必須です 〜

このエントリの最後に「残存リスク」の項目を追加しました。

思っているより多くの残存リスクがあり、これらも考慮しなければならないことが解ると思います。

 

完全なSQLインジェクション対策

不完全なSQLインジェクション対策だけで、SQLインジェクション対策は万全、と誤解しているケースが少なくないです。

  • プリペアードクエリ/プレイスホルダを使ったSQLインジェクション対策でOK

は誤りです。「とにかくプレイスホルダを使おう」では脆弱性は無くなりません。

続きを読む

ソーシャルメディアフィンガープリントとその対策

ソーシャルメディアフィンガープリントがまた話題になっているようです。ソーシャルメディアフィンガープリントとは何か?およびその対策です。

ソーシャルメディアに限らず、ログインをサポートしているサイトであれば、全て対象です。

続きを読む

根本的なセキュリティ対策とは何か?

セキュリティ対策において対策が「根本的」な対策であるかどうか?はあまり重要ではないです。セキュリティ対策において重要なのは対策が「効果的」であるかどうか、が重要だからです。

この基本を押さえた上で、ソフトウェアの「根本的な対策」とは何かを考えてみます。

続きを読む

PHPのheader関数とheaders_remove関数の注意点

PHPのheader関数とheader_remove関数の注意点です。あまり使わないと思いますが、Set-Cookieヘッダーや他のヘッダーで注意しないと問題になります。普段はsetcookie関数でクッキーを設定していてたまたまheader関数でクッキーを設定した、という場合にheader関数とsetcookie関数の仕様の違いにより、思ってもいない結果になります。

続きを読む

WordPressをできるだけ安全に使うプラグイン

このブログで利用しているセキュリティ関係のプラグインを紹介します。こういう情報はあまり公開しない方が良いのですが、本気の攻撃者の場合はプラグインファイルの存在を総当たりで検出すれば判ってしまいます。

続きを読む