アカウント名:
パスワード:
なぜそのコードでは駄目なのか、どうして脆弱性になるのか、どうすれば脆弱性を取り除けるのかをもっといろんな人が詳しく解説してくれればさらに安全性の高いコードが書けるようになり脆弱性の発見も増えると思うのですがその辺の初心者向けの情報が少ない気がします
学ぶ気も探す気もないだけでは?IPAだけでこんなに公開していますし、企業や個人がセキュリティについてブログ等でまとめている物も幾らでもありますし、書籍も幾らでもありますよ。
安全なウェブサイトの構築と運用管理に向けての16ヶ条 ~セキュリティ対策のチェックポイント~ [ipa.go.jp]知っていますか?脆弱性 (ぜいじゃくせい) [ipa.go.jp]安全なウェブサイトの作り方[pdf] [ipa.go.jp]セキュア・プログラミング講座 [ipa.go.jp]Web Application Firewall 読本 [ipa.go.jp]ウェブサイト運営者のための脆弱性対応ガイド[pdf] [ipa.go.jp]ウェブサイト構築事業者のための脆弱性対応ガイド[pdf] [ipa.go.jp]セキュリティ担当者のための脆弱性対応ガイド[pdf] [ipa.go.jp]ウェブサイトにおける脆弱性検査手法の紹介 [ipa.go.jp]
全部検索すればすぐにでてきますよ。
初心者はまず学ぶ気と探す気を育てろということだな。
これはいい煽り。
Struts知らないのでアレですが、Parserがらみで推測するに適切に文字列をエスケープできてなかったということが今回の争点のはず。たとえばこのスラドのコメント欄にはHTML形式である程度文章を装飾できる機能がありますが、なんでもかんでもタグを受け入れていたら、サイトの構造が破壊されてしまいます。なので実行できる=タグとして認識する文字列(のフォーマット)を限定するわけですが、それと同様の対策行為が、Strutsの場合は甘かったというのが今回の問題ではないかと。
もっとも、このStrutsというのは大元の設計自体がアレなのでParseでどうにかなるレベルではないということらしいです……。
Strutsは設計以前にコンセプトの段階がすでにアレなので…開発開始時点の状況であれば仕方がないところなのかな
その手の専門書は山ほどありますし、ググれば入門ページのようなものはいくらでも出てきますよ。
「その辺の初心者はそういった情報にたいして興味なく、 能動的に啓蒙できるような手段も動機もとくにない」
というのが唯一最大の問題でしょう。プログラム開発を資格制にでもするしか…。
個人的にはマネージャー側を資格制にして欲しいですね。
セキュリティうんぬんの重要性を説いても、マネージャーで止まって改善はされなかった経験があるもので。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
脆弱性が報告されるのはいいことだが・・・ (スコア:0)
なぜそのコードでは駄目なのか、どうして脆弱性になるのか、どうすれば脆弱性を取り除けるのかを
もっといろんな人が詳しく解説してくれればさらに安全性の高いコードが書けるようになり脆弱性の発見も増えると思うのですが
その辺の初心者向けの情報が少ない気がします
Re:脆弱性が報告されるのはいいことだが・・・ (スコア:4, 参考になる)
学ぶ気も探す気もないだけでは?IPAだけでこんなに公開していますし、企業や個人がセキュリティについてブログ等でまとめている物も幾らでもありますし、書籍も幾らでもありますよ。
安全なウェブサイトの構築と運用管理に向けての16ヶ条 ~セキュリティ対策のチェックポイント~ [ipa.go.jp]
知っていますか?脆弱性 (ぜいじゃくせい) [ipa.go.jp]
安全なウェブサイトの作り方[pdf] [ipa.go.jp]
セキュア・プログラミング講座 [ipa.go.jp]
Web Application Firewall 読本 [ipa.go.jp]
ウェブサイト運営者のための脆弱性対応ガイド[pdf] [ipa.go.jp]
ウェブサイト構築事業者のための脆弱性対応ガイド[pdf] [ipa.go.jp]
セキュリティ担当者のための脆弱性対応ガイド[pdf] [ipa.go.jp]
ウェブサイトにおける脆弱性検査手法の紹介 [ipa.go.jp]
全部検索すればすぐにでてきますよ。
Re:脆弱性が報告されるのはいいことだが・・・ (スコア:1)
初心者はまず学ぶ気と探す気を育てろということだな。
Re: (スコア:0)
これはいい煽り。
Re:脆弱性が報告されるのはいいことだが・・・ (スコア:2, 興味深い)
Struts知らないのでアレですが、Parserがらみで推測するに適切に文字列をエスケープできてなかったということが今回の争点のはず。
たとえばこのスラドのコメント欄にはHTML形式である程度文章を装飾できる機能がありますが、
なんでもかんでもタグを受け入れていたら、サイトの構造が破壊されてしまいます。
なので実行できる=タグとして認識する文字列(のフォーマット)を限定するわけですが、それと同様の対策行為が、Strutsの場合は甘かったというのが今回の問題ではないかと。
もっとも、このStrutsというのは大元の設計自体がアレなのでParseでどうにかなるレベルではないということらしいです……。
Re: (スコア:0)
Strutsは設計以前にコンセプトの段階がすでにアレなので…
開発開始時点の状況であれば仕方がないところなのかな
Re: (スコア:0)
その手の専門書は山ほどありますし、ググれば入門ページのようなものはいくらでも出てきますよ。
「その辺の初心者はそういった情報にたいして興味なく、
能動的に啓蒙できるような手段も動機もとくにない」
というのが唯一最大の問題でしょう。
プログラム開発を資格制にでもするしか…。
Re: (スコア:0)
個人的にはマネージャー側を資格制にして欲しいですね。
セキュリティうんぬんの重要性を説いても、
マネージャーで止まって改善はされなかった経験があるもので。