OWASP Top 10の日本語訳、公開 20
ストーリー by Acanthopanax
熟読 部門より
熟読 部門より
hisai 曰く、 "米国の非営利団体であるOWASP (Open Web Application Security Project)発行の「The Ten Most Critical Web Application Security Vulnerabilities」日本語訳を本家にて公開しました。フランス語と韓国語も同時公開です(ファイルリスト)。
このドキュメントは、Webアプリケーションでよく起こる10種類の脆弱性を解説しています。Webアプリケーション開発者の皆さんはもとより、Webアプリケーションをアウトソーシングされる方にも役に立つと思います。" (つづく…)
"【注記】このドキュメントでは、クラックする人を「ハッカー」という言葉で表現しています。
日本のマスコミもそうですが、米国の辞書(Merriam-Webster, American Heritage, Cambridge Dictionary of American English)もクラックする人→ハッカーという意味を載せています(もちろん良い意味でのハッカーも載せています)。悩みました。で、原文通り「ハッカー」という言葉を使用しました。"
Webアプリケーション脆弱性の解説 (スコア:3, 参考になる)
# 翻訳お疲れ様でした
by lux
他には、IPA ISEC セキュア・プログラミング講座とか (スコア:2, 参考になる)
# 丁度作っていて、しかも仕事中なのでACで勘弁してください;;
Re:他には、IPA ISEC セキュア・プログラミング講座と (スコア:1)
h ??? (スコア:1)
原文には無い様ですし。
# 最初、Wordの方を落として印刷したので、自分で書き加えちゃったのかと…。
# PDFにもあって、安心しましたが。
Re:h ??? (スコア:1)
早速直してWebを更新...と行きたいのですが、
本家プロジェクト担当が繁忙でなかなかサイト
を更新できない、かつ他にも間違いある(苦笑)ので、
もう少し様子見たいです。
本家への更新作業はもう少し待ってください。
Re:Webアプリケーション脆弱性の解説 (スコア:2, 参考になる)
いやあ本当に... (スコア:2, 興味深い)
まともなサイトが少ないのは作る側、作ってもらっている側の両方にあります。
Webサイト開発関係者なのでAC
# ハッカー == コンピュータギークですが
# クラッカーには大した知識が必要なかったりします。
# 世の中はハッカー ~= クラッカーなのでしかた無いかな。
hack(おふとぴ) (スコア:0)
人に説明するときは、「白ハッカー」「黒ハッカー」のような言い方をすることが多いです。山形浩生いわくの「ハッカーそのものには善悪はない」意見 [cruel.org]に基づいてます。ケビン・ミトニックは、黒ハッカーの代表格と思ってます。腕は確かなので。
一方、いわゆる Script kiddy は、単なる「ガキ」で片づけてます。せっかく立てたサーバを、セキュリティアップデートかます前にガキのIRC庭にされたこともあったっけなぁ(遠い目)。
そういう意味では、hack, hacker には善悪の概念がないとも言えるけど、いわゆる「ハッキング」は、もはやクラッキング
Re:hack(おふとぴ) (スコア:1)
という人の為に欺術 [amazon.co.jp]。
プログラムを組まない人も一度は、読むべき本。
彼が得意なのは、ソーシャルエンジニアリングで、
これって hack/crack って言うのでしょうか?
消化器を売りつける「消防署の方から来ました」と同類だと思いますが。
ただ、技術的に防衛手段がないあたり、
hack/crack より高度な事なのかも。
Re:hack(おふとぴ) (スコア:1)
ローカルな環境で自分のマシンにアタックするのであれば、だーれも文句言ったりすることは無いと思います。
まぁ最低でもマシンx2台必要ですが、今の価格ならあのころに比べてやりやすくはなったのではないかな?
親を説得するのは難しそうですが(苦笑)
XSS脆弱性防衛策 (スコア:2, 参考になる)
XSS脆弱性防衛策の部分に関して、ちょこっとツッコミ。
エスケープ方法なのですが、この文書では以下を推奨しています。全角で書き替えて引用します。
これから これへ
< <
> >
( (
) )
# #
& &
上で引用した内容でエスケープして安心していたらXSS脆弱性があった、、なんてことがないように気をつけましょう。
” や ’ も数値文字参照や文字実体参照するようにしましょう。
(皆さん知っていると思いますが念の為)
| 慈愛こそ慈愛
Re:XSS脆弱性防衛策 (スコア:0)
Re:XSS脆弱性防衛策 (スコア:1)
必要はありませんが、script kiddyに対する抑止になっているかもしれません。主要な論点としては、XSS攻撃が成立するまでの手段と、成立してからの攻撃続行手段との2段階についてそれぞれ別途考察すると良いかも知れないと云う点でしょうか。
javascriptの起動までは出来たとして、「(」と「)」を使えないとcookieを盗めないようでは門前払いということで。(妄想)
まぁ、XSS攻撃が真に成功する為には事前に完璧な手段で情報収集のための生贄サーバが必要なわけですから、script kiddyには難しいかと。その意味で、わざわざ「(」と「)」をエスケイプする必要はありません、、デスね?踏み台作れるkiddyならば、「(」と「)」は軽~くイテコマスはずです。
|私はチキンなので厨房以前です。
| 慈愛こそ慈愛
「スラッシュドット効果」 (スコア:1)
としっかり書かれてますね。
これがなかったらタレこまれ無かった、とか?
Re:「スラッシュドット効果」 (スコア:1)
それより (スコア:0)
Re:それより (スコア:1)
Re:それより (スコア:0)
OWASP... (スコア:0)
Re:OWASP... (スコア:1)