「 WebSecurity 」 一覧

OWASP ZAP をビルドする(2017年8月)

2017/08/10   -WebSecurity

OWASP ZAP は、Webの通信内容を見たり、Webアプリケーションの脆弱性を調査するためのアプリケーションです。 このツールは オープンソースで開発されておりソースコードが公開されているため、誰 …

Laravel 5 の Remember Me 機能について

2015/05/22   -Software, WebSecurity
 ,

Laravel 5 では Remember Meの機能(オートログイン)がデフォルトで実装されています。この機能の安全性を調査した時のメモです。 ログイン時、remember me というチェックボッ …

Laravel 5 で制御文字を禁止するバリデーションルールを追加する

ウェブアプリケーションにもいろいろありますが、制御文字を受け入れる必要のないパラメータは割と多いんじゃないかと思います。そのようなパラメータでは、最初から制御文字を受け入れないようになっていれば、セキ …

PHPで画像ファイルかどうかを検証する(Laravel)

特定のファイルが画像ファイルかどうかを検証するPHPの関数を書いてみました。ウェブサイトにアップロードされた画像ファイルを検証する時などに使うことを想定しています。 GIF/JPEG/PNG のみ対象 …

ウェブアプリケーションを開発しながら、手軽に脆弱性検査する方法

2015/03/19   -Software, WebSecurity
 

以前、OWASP ZAP に追加された attack mode の概要 というエントリを書きましたが、このATTACK modeを使った簡単なセキュリティ検査の手順をメモしておきます。この機能を使えば …

OWASP ZAP 2.4 のデータ保存について

2015/03/18   -Software, WebSecurity
 

もうすぐリリースされる OWASP ZAP 2.4 では、起動時に以下のダイアログが表示されます。 ZAP起動時に表示されるダイアログ これは ZAPを使用することで溜まっていくデータをどこにどういう …

セキュリティに関するヘッダを出力するPHPスクリプトの叩き台

2014/12/10   -Software, WebSecurity
 

セキュリティ関連のHTTPレスポンスヘッダを毎回調べて書くのが面倒なので、ここにまとめておくことにします。 PHPで何か書く時は レスポンスヘッダを出力するあたりに以下を書いておき、制限がキツいようだ …

OWASP ZAPのフィルタ機能についてのメモ

2014/12/01   -WebSecurity
 ,

29日に行われた OWASP DAY というイベントの中で Proxy War というプレゼンがあったようで、スライドが公開されていました。この中では Fiddler, BurpSuite, OWAS …

OWASP ZAP に追加された “Vulnerable JS libraries detection” アドオンのメモ

2014/11/27   -WebSecurity
 

(注意) アドオンのソースコードを見付けたので書き直しました。(2014-11-28) 昨日、OWASP ZAP の Passive scanner rules (alpha) に “Vulnerab …

やられWebアプリケーションの一覧

2014/11/26   -WebSecurity
 

意図的に脆弱性を持たせたWebアプリケーション(通称 やられWebアプリケーション?)の一覧をメモ OWASP Vulnerable Web Applications Directory Projec …


lathe