2008-10-20

[]今日増田情報セキュリティの日

私は単なる一増田でしかないのだが、なんとなく今日増田情報セキュリティの日とすることに決めた。

なぜって、今日は、年末年始という忙しく、そして狙われやすい時期をはさみ、2月2日からきっかり103日前だからである。

決して、はまちちゃんとエガミ君のやり取りがあったとか、増田セキュリティ関連の話題に乏しいとか思ったからではない。

さて、一口にセキュリティといっても、その幅は広い。まずは定番から攻めるのが定石であろう。何が定番なのかについては、例えば「Webアプリ脆弱性オタがふつーのSEの彼女に脆弱性世界を軽く紹介(ry」などが参考になるだろう。

しかし、たとえば「初心者はPHPで脆弱なウェブアプリをどんどん量産すべし」といったような初心者には、まずは10というよりも1から脱初心者していただくのがよいであろう。

そんなわけで、今年のテーマXSSとする。繰り返すが、はまちちゃんとエガミ君のやり取りがあったとか、XSS以外のネタが少ないとかではない。

さて、このように、今年のテーマXSSとなった。それではXSSとは何か、どのように起き、どう対処すればよいのか、そのような実例ちょうど良いエントリが「エガミくんの脆弱性のやつ」である。

さらに、このエントリをよんで、実際に「XSSしたい><」と思った人に読んでいただきたいのは「今昔さっき物語」であろうか。

さて、非常に簡単にXSSについて書いたが、このXSS、実はその他のさまざまな脆弱性の基礎でもある。

出力がHTMLならXSSだが、SQLならSQLインジェクションだし、シェルならコマンドインジェクション、メールヘッダならメールヘッダインジェクション等々になりえる。とくに、初心者にとってシェルは予想外のところで使われているから、気をつけよう。

その他セキュリティに関心があればsecurityタグお勧めしたい。セキュリティよりもsecurityの方が濃いのである。

p.s.

最後にこのエントリメモしておく

トラックバック - https://anond.hatelabo.jp/20081020191636
  • 初心者はPHPで脆弱なウェブアプリをどんどん量産すべし

    http://www.rubyist.net/~matz/20080126.html#p04 趣味でやってるプログラミング初心者の立場で言わせてもらう。だいたいな、あんたらプロのプログラマが小難しい顔してセキュリティセキュリティ言...

    • [セキュリティ]今日は増田的情報セキュリティの日

      私は単なる一増田でしかないのだが、なんとなく今日を増田的情報セキュリティの日とすることに決めた。 なぜって、今日は、年末年始という忙しく、そして狙われやすい時期をはさみ...

    • http://anond.hatelabo.jp/20080130215148

      超同意、初心者が下手なサービス出したらPHPモヒカン族がやってくる! だけど、おにゃのこ初心者プログラマーには優しくアドバイス・・・。キモイ!

    • http://anond.hatelabo.jp/20080130215148

      阿呆なんですか? 根性ねじれてますか? PHPで初心者がWebアプリ作るなとは誰も言ってねーよばか。 公開するな、と言ってるだけ お前らの、その穴だらけのクソWebアプリを全世界に公開...

      • http://anond.hatelabo.jp/20080131103838

        全世界に・・・そんな風に思ってた時期もありました。

      • http://anond.hatelabo.jp/20080131103838

        アホはお前。 公開しないで何が楽しいの? そんなに困るならさっさと法整備すれば? ルール作ってウェブアプリ公開できるのはライセンス保持者だけってすればいいじゃん。 そのウェ...

        • http://anond.hatelabo.jp/20080202120947

          http://anond.hatelabo.jp/20080201191908 アホはお前。 公開しないで何が楽しいの? 確かに公開した方が楽しい。でも、公開しなくたってプログラミングを楽しめるんですよ。。そうやって「作...

      • http://anond.hatelabo.jp/20080131103838

        「全世界に公開出来るクオリティ」って何さw それって世界にかこつけて単に「オレサマが納得できるクオリティじゃないと、お前らは公開しちゃだめ!」っていってるだけじゃねーか ...

        • http://anond.hatelabo.jp/20080202135746

          長いけど要するに 不完全でもとりあえず作って公開する、ってのは意味があること。 これにはものすごく同意。 けど、単なるインジェクションすら分からんと開き直られると、ちょ...

          • http://anond.hatelabo.jp/20080202140713

            横レスだけど。 簡単すぎて多分ここで説明しても無意味だとおもうよ。 インジェクションに対応してるっていってもさ・・・ 例えば`(バッククオート)とかに対応してなかったりする...

            • http://anond.hatelabo.jp/20080202142131

              「初心者が萎えちゃうから『Webをなめるな』なんて言っちゃダメ!」ってほうが、よっぽど過保護だと思うのだけど、どうか。 というか、なんでそんな事が気になるんだろう。 ほっとい...

              • http://anond.hatelabo.jp/20080202142653

                他人のモチベーションを保護しているわけじゃなくて、 わざわざ出向いていって他人のモチベーションを壊す気になれないよ、というだけ。 作為的な言い方はよそうよ。 わざわざ他人の...

                • http://anond.hatelabo.jp/20080202145203

                  俺へのレスへレスしてくれてありがとう。 そのとおり。自分も言いたかったのはそういうことなんだぜ。 同じような意見のひとがいると楽チンだね!

                • http://anond.hatelabo.jp/20080202145203

                  最低限のこと書いてるだけで、過保護は無いんじゃね?Matzだってdankogaiだってモチベーションを壊そうとしてるわけないじゃん。なんていうか、モチベーション過敏症? 他人のモチベー...

            • http://anond.hatelabo.jp/20080202142131

              いや、何で過保護って言葉がでてくるのかよくわかんないです。保護って? 「インジェクション対策とかセキュリティアップデートってすごく簡単」なんだから、それをさも難しいこと...

          • http://anond.hatelabo.jp/20080202140713

            マジな話、この説明で分からないプログラマが居たら、恥ずかしがらずに「そんなんじゃ分からんわボケ」と言って欲しかったりする。

          • http://anond.hatelabo.jp/20080202140713

            俺に「簡単でしょ?」って言われても、俺は今発言しただけでその「元増田」じゃないからなあ

      • お前こそ公開するな

        お前の、その穴だらけのクソテキストを全世界に公開するのは色んな意味でよろしくないのでやめましょうね 元ネタ>http://anond.hatelabo.jp/20080131103838

    • anond:20080130215148

      初心者がPHPで脆弱なウェブアプリをどんどん量産しても構いません。 そうやって公開された個人サイトが荒らされようが攻撃されようが知ったこっちゃありません。 ただその程度で経験...

      • http://anond.hatelabo.jp/20080131105014

        そうやって公開された個人サイトが荒らされようが攻撃されようが知ったこっちゃありません。 いや、そんな風に言われると困る。 XSSやり放題で、CSRF仕掛けられちゃうような Webアプ...

    • http://anond.hatelabo.jp/20080130215148

      相変わらずケツ語だけ見て脊髄してる奴が多いなあ。その前の4段落くらいの内容なんて全く頭に残ってないだろ(w で、要はアレだ、上級者やそのへんの上の人たちに対しては 初心者が...

      • http://anond.hatelabo.jp/20080131122256

        何が言いたいの? 初心者をシャットアウトしろという意見がもっともだと思うなら、まずお前の厨房レベルの言い訳を訂正しろよ。 # あと「シャットアウトしろ」という表現は、間違っ...

    • http://anond.hatelabo.jp/20080131123647

      http://anond.hatelabo.jp/20080130215148 極論過ぎるだろうけど、考え方は間違ってないと思う。 今セキュリティのプロ気取ってるやつらも最初は初心者だったんだから。

    • http://anond.hatelabo.jp/20080130215148

      「よーしもうちょっとで公開できるなー ちょっと手を抜いたからセキュリティは甘いかもだけど絶対面白いしいろんな人が喜んでくれるはずだしきっと有名に…… >Webアプリをなめる...

    • http://anond.hatelabo.jp/20080130215148

      うわー。その通りだよ。PHPは使ったことないが。 まず、何をしたら、何をしなければ、安全になるのかよくわからない。 次に、自分の書いた物は自分で見ても、どこがまずいのかわか...

      • http://anond.hatelabo.jp/20080131124734

        仕事で使ってる人とか、仲間内でやってる人が多いんじゃないかと思うけど。。。 初心者でサービスを作るなら、URLを公開しないか、公開するならBASIC認証をかける程度の事をやってお...

    • http://anond.hatelabo.jp/20080130215148

      初心者がお手軽にPHPで作ったウェブアプリのせいで実際にどんな被害が出たんだよ。具体的に。 まぁ、下請けで仕事してるこっちの身になればクソコードを量産するPHP初心者はマジ...

    • http://anond.hatelabo.jp/20080130215148

      ここ最近のPHPはセキュリティ云々って話、「化石燃料燃やすと温暖化とか環境に悪影響が出るから発展途上国の皆さんはも少し環境に気を使えよ(はぁと)」っていう先進国の言ってるこ...

      • http://anond.hatelabo.jp/20080131132644

        似てないよ。仕事ないのは同情するけど。 今はインターネットの利用者がとても多いし、10年前よりもセキュリティ意識が格段に高いけれど、そういう過去の鷹揚な時代に乗り遅れたのは...

    • そもそも

      anond:20080130215148 まあ、こうやって騒いでも、ああやって騒いでも・・・。 初心者さんは、見ていないものです。。。 それよりも、分かる人はそんなこと無視して、 初心者さんのための...

    • http://anond.hatelabo.jp/20080130215148

      基本的には完全同意。 もう初心者は肥だめに落ちたブタのようなクソコードを量産しまくって、公開しまくって失敗しまくれ。 問題はあなた方のような「やる気のある初心者」じゃなく...

    • http://anond.hatelabo.jp/20080130215148

      要は個人が作って無償で公開するようなサービスならPHPだろうが大量に脆弱性作りこもうが好きにしろってことで, 業務でコード書くならセキュリティをちゃんと考えなければダメだっ...

      • http://anond.hatelabo.jp/20080131151954

        趣味プログラマの初心者はサービスを「公開」しちゃ駄目でしょ。クローズドな所でやっとけ。

        • http://anond.hatelabo.jp/20080131152701

          公開するのはOKだと思うが、他人の個人情報とか預かっちゃだめって事じゃない。 XSS脆弱性はそもそも信用されていないサーバーだろうから、あまり問題ないし。 SQLインジェクションで...

    • 万が一の時のダメージ

      初心者はPHPで脆弱なウェブアプリをどんどん量産すべし これを増田に書くってことは、idでこういうことを書くことのリスクがわかっているのだと思います。 もし、この増田君の友達が...

    • http://anond.hatelabo.jp/20080130215148

      おまいの言うとおりだ。 初心者は脆弱性なんかに気を遣わなくてもおk。 どんどん書いて、どんどん失敗して、覚えてゆくものだ。

      • http://anond.hatelabo.jp/20080131182838

        踏み台にされるリスクさえ分からん初心者にはインターネットでサービスを公開するなと言いたい。 簡単な認証も書けん奴はWebサービス公開すんな。

      • http://anond.hatelabo.jp/20080131182838

        同意だよ。 初心者が本当に注意しなければいけないのは、スクリプトの脆弱性よりもサーバーのセキュリティ。 PHPなら大抵どこのレンタルサーバーも利用可能なので殆ど問題がない。 初...

        • http://anond.hatelabo.jp/20080131200105

          root権限奪取とか、SQLインジェクション持ち出されても、はいそうですねとしか言いようがない。 あと PHPだから安全、みたいな事を言うのも必ずしも正しくないし、有害なのでやめれ。 ...

    • http://anond.hatelabo.jp/20080201012307

      http://anond.hatelabo.jp/20080130215148 その通りだと思った。 いいじゃん別に!いろんな人がプログラミングに接せられるようになった方が、もっと嬉しくないの? それが。php、perl、rubyだとし...

      • http://anond.hatelabo.jp/20080201012307

        いや、元増田の「分からんから開き直る」という態度はアマチュアでもプロでも害悪でしかないぞ。おまけに自分はリスクを取らず無知な人を煽ってるのが卑怯すぎる。 というか、Webで...

    • [開発]あまりに見事に酷いお話

      http://anond.hatelabo.jp/20080130215148 危険だとか迷惑だとか踏み台だとか色々かいてあるけれど(というか踏み台ってなんだろ?) そんなに大切な個人情報をたくさん扱ってるサイトなんてどれだ...

    • はてなの構造的脆弱性とか

      http://anond.hatelabo.jp/20080130215148 ほんとほんと。 はてなにだってすごい脆弱性がある。 最近更新されたダイアリー一覧とかいうのがある。 無限に過去をさかのぼって一覧をみることができ...

      • http://anond.hatelabo.jp/20080201095257

        お前らのその「赤信号みんなで渡れば怖くない」的な責任回避が気に入らない。あと何を知ったかぶりたいのか知らないけど、その程度で「構造的脆弱性」とか「システム設計(笑)がいか...

        • http://anond.hatelabo.jp/20080201110453

          ヨコレス。 アカウント名を他人に知られることは別に危険ではない。"ID"と"パスワード"で2元的に管理してるだろ?パスワードが容易に推測できる場合が問題なだけ。誤ったセキュリテ...

          • http://anond.hatelabo.jp/20080201151750

            君が何を言ってるのかわからないよ セッション維持にIDを使う設計がクソなだけで、それと(まっとうに設計されている)システムでのID公開は別じゃん

            • http://anond.hatelabo.jp/20080201154318

              まじで? なんで俺まで噛みつかれちゃったんだろ。 セッションハイジャックなんかの話はしてないつもりだよ。 ログイン用のアカウントは収集可能なところに晒さないのは当然の流れな...

              • http://anond.hatelabo.jp/20080201160547

                ログイン用のIDがばれたらIDが判らないよりその人のアカウントは盗みやすくなるよね? それはパスワードの強度が足りないだけであって、IDを秘密にすべき理由にはならないよ。 IDを...

                • http://anond.hatelabo.jp/20080201161924

                  なんでこんなに強情なんだろう? ・パスワードの強度はユーザー依存 ・IDが隠蔽されていたら特定のユーザーを狙うことができない ・IDバレした状態でパスワードが20文字あるよりも、I...

                  • http://anond.hatelabo.jp/20080201180907

                    ・IDバレした状態でパスワードが20文字あるよりも、IDが隠蔽された状態で6文字のPASSの方が強度がある これはおかしい。 IDなんて、大抵辞書に載ってそうな言葉なんだから、IDバレ&...

                    • http://anond.hatelabo.jp/20080201191014

                      ベストなのは秘密ID20文字+パスワード20文字ていう結論ですか? 銀行の暗証番号を誕生日4桁に設定するなんてもってのほかだと思うけれど、IDが知られなければ特定個人へのクラックも出...

              • http://anond.hatelabo.jp/20080201160547

                IDやその人自身の属性に関連したパスワードをつけてしまうアホを考えると、確かにIDは知られにくい方が良いように思えるかもしれない。 そういったアホに対して、IDも知られない方が...

    • セキュリティ過敏症

      初心者はPHPで脆弱なウェブアプリをどんどん量産すべし ↑のブックマーク うん。増田くんはいつもいいこと書くね! ブックマークの方には 危険だとか迷惑だとか踏み台だとか色々かい...

    • http://anond.hatelabo.jp/20080130215148

      こういう論争にすぐ発展するから、にわかプログラマーが離れてくと思うんだ。 変なものを作ると、自分が発端で火種になってしまう。 続けられるかどうかわからない初心者が 「セキュ...

    • http://anond.hatelabo.jp/20080130215148

      俺はプログラマじゃないからよくわかんないけど、 セキュリティーホールだらけのウインドウズ作ってるのって、 そこらへんのえらそうなこと言ってる人たちより 優秀なプログラマなん...

      • http://anond.hatelabo.jp/20080201200117

        Windowsはソースコードが何千万行もあるらしいからねー。 使いまわしもあるだろうし、セキュリティホールが全くないものを書くのはものすごく難しいと思う。もちろんプログラマは超優...

        • http://anond.hatelabo.jp/20080201201140

          ふーん、そうなんだ。 やっぱりMSの人たちってプログラムの世界じゃトップクラスなの? その人たちでもセキュリティーは完璧じゃないってこと? でも、その人たちから見たら、そこら...

          • http://anond.hatelabo.jp/20080201205040

            プログラマとしてトップレベルであることと、セキュリティに精通してることって次元が違う気がするな。穴を見つけることに関しては、脆弱性の検査とかしてる人のほうが詳しそう。 ...

            • http://anond.hatelabo.jp/20080201212244

              プログラマとしてトップレベルであることと、セキュリティに精通してることって次元が違う気がするな。穴を見つけることに関しては、脆弱性の検査とかしてる人のほうが詳しそう。 ...

    • http://anond.hatelabo.jp/20080130215148

      初心者のくせにいきなり高木浩光の言ってることを理解しようとするのが間違いというかアンラッキーというか空気が読めてないというか。 あんなの始めは理解できなくたって良いんだ...

    • http://anond.hatelabo.jp/20080130215148

      どこに書こうか迷ったが・・・。 問題は、プロが作るべきシステムなのに初心者(としか思えない)が作っていることが多い、ということじゃないのだろうか。 はまちゃんの言うとおり、...

      • http://anond.hatelabo.jp/20080202174001

        そうだね・・・。 びっくりするほどな人が混じってたりするのは排除できない。 さすがにフリーランスで動いているひとにそういう人はいないのだけど、 企業所属だとアルバイトが普通...

    • インターネットは怖い場所だよ

      http://anond.hatelabo.jp/20080130215148 >初心者がお手軽にPHPで作ったウェブアプリのせいで実際にどんな被害が出たんだよ。 被害がでたことがわからないのがネット攻撃なんだがな。ほんとに...

    • Webアプリのセキュリティ

      システムのセキュリティって何のために考えなきゃいけないんでしょうね。最近、会社生活がめっきり開発色に染まって、Webアプリのセキュリティレベルのバランスを考えながらそんなこ...

    • PHPについて

      PHPは定期的にネタにされるらしい ちょっと前のことだけど、Rubyの作者である...

    • http://anond.hatelabo.jp/20080130215148

      こういう初心者を励ましてくれる人を見ると、すごく嬉しい気持ちになる。

記事への反応(ブックマークコメント)

人気エントリ

注目エントリ

アーカイブ ヘルプ
ログイン ユーザー登録
ようこそ ゲスト さん