自作コンパイラの部屋 > Web Application Security(WAS)に関する話題の目次

このページは、徳丸浩がWeb Application Securityについての寄稿やブログの内容をまとめたものです。

最新の投稿(ITpro)

1. 第1回　はびこる「インジェクション系」のぜい弱性:ITpro
2. 第2回　対策遅らせるHTMLエンコーディングの「神話」:ITpro
3. 第3回　まだまだあるクロスサイト・スクリプティング攻撃法:ITpro
4. 第4回　インジェクション系攻撃への防御の鉄則:ITpro

クロスサイト・スクリプティング(XSS)

1. 第2回　対策遅らせるHTMLエンコーディングの「神話」:ITpro
2. 第3回　まだまだあるクロスサイト・スクリプティング攻撃法:ITpro
3. 「XSS脆弱性は危険，Cookieを盗まれるだけでは済まない」専門家が注意喚起：ITpro
4. 「Yahoo!メールのウイルスが悪用したのは『XSS脆弱性』，サイト管理者は注意を」---専門家が警告：ITpro
5. Firefoxの脆弱性は危険，“ワンクリック”でパスワードを盗まれる恐れあり：ITpro
6. ockeghem(徳丸浩)の日記 - Firefoxのパスワード・マネージャの脆弱性その後
7. XSS対策:どの文字をエスケープするべきなのか
8. XSS対策:JavaScriptなどのエスケープ
9. XSS対策:JavaScriptのエスケープ(その2)
10. XSS対策:JavaScriptのエスケープ(その3)
11. JavaScriptのXSS
12. Firefox 2.0.0.4におけるXSSワンクリックパスワード窃取問題
13. 第1回　Ajaxとクロスサイトスクリプティング｣を読んで - AjaxのXSS対策
14. Twitterのクロスサイト・スクリプティング(XSS)対策は変だ
15. 画像ファイルによるクロスサイト・スクリプティング(XSS)傾向と対策

SQLインジェクション

1. 第4回　インジェクション系攻撃への防御の鉄則:ITpro
2. 変数に型のない言語におけるSQLインジェクション対策に対する考察(1)/問題の提起
3. 変数に型のない言語におけるSQLインジェクション対策に対する考察(2) / 数値リテラルをシングルクォートで囲むことの是非
4. 変数に型のない言語におけるSQLインジェクション対策に対する考察(3) / 数値項目に対するSQLインジェクション対策
5. 変数に型のない言語におけるSQLインジェクション対策に対する考察(4) / SQLの「暗黙の型変換」で実行速度が遅くなるのはどのような場合か
6. 変数に型のない言語におけるSQLインジェクション対策に対する考察(5) / 数値項目に対するSQLインジェクション対策のまとめ
7. SQL Serverが狙われるには理由がある
8. SQLのエスケープ再考
9. SQLエスケープにおける「\」の取り扱い

携帯電話向けWebアプリケーションのセキュリティ

1. 「ケータイ・サイトのセキュリティを見直せ」---専門家が忠告：ITpro
2. ケータイ向けサイトからの情報漏えいに注意を
3. 携帯電話向けWebアプリケーションのセッション管理手法
4. 「携帯電話向けWebアプリの脆弱性事情」に統計数値で答える
5. i-modeにおけるReferrerの挙動についての補足

その他のセキュリティ話題

1. CrLfインジェクション
2. HTTP1.1、CGI1.1の継続行
3. 「Webアプリケーション脆弱性動向」に対する「感想」にお答えします
4. 危険文字と言わないで
5. Webアプリケーション脆弱性対策としての入力値検証について
6. アプリケーションの先頭で行う入力値検証は業務要件により行うべし

過去の投稿など

1. WEBアプリケーションセキュリティ（セキュリティの今 第9回）/SAFETY JAPAN [コラム]/日経BP社
2. Webアプリケーションのセキュリティ完全対策―不正アクセスや情報漏洩を防ぐ(Amazon)

ホームページに戻る