投稿者の過去記事

オープンソースの脆弱性対策に学ぶ~Apache Struts でリモートから任意のコードが実行可能な脆弱性の対策2(CVE-2017-5638、S2-045)~
ここでは「オープンソースの脆弱性対策に学ぶ」と題して、具体的な事例を紹介しながらセキュアコーディングについて考えてみたいと思います。引き続き、Apache Struts でリモートから任意のコードが実行可能な脆弱性の対策を紹介していきま…

オープンソースの脆弱性対策に学ぶ~Apache Struts でリモートから任意のコードが実行可能な脆弱性の対策1(CVE-2017-9805、S2-052)~
ここでは「オープンソースの脆弱性対策に学ぶ」と題して、具体的な事例を紹介しながらセキュアコーディングについて考えてみたいと思います。(約2年ぶりの続編となります。前回シリーズはこちら)半年ほど前になりますが、Apache Struts …

オープンソースの脆弱性対策に学ぶ ~DrupalのSQLインジェクション対策(SA-CORE-2015-003、CVE-2015-6659)~ 4/4
Drupal ver.7.39で対策されたSQLインジェクションの脆弱性についてご紹介してまいりましたが、いよいよまとめです。 (さらに…)…

オープンソースの脆弱性対策に学ぶ ~DrupalのSQLインジェクション対策(SA-CORE-2015-003、CVE-2015-6659)~ 3/4
前回はSQLインジェクションの脆弱性と、その対策方法としてエスケープ、値のチェック、プレースホルダー、ビルダーライブラリがあることをご紹介しました。 (さらに…)…

オープンソースの脆弱性対策に学ぶ ~DrupalのSQLインジェクション対策(SA-CORE-2015-003、CVE-2015-6659)~ 2/4
前回はDrupal ver.7.39で対策されたSQLインジェクションの脆弱性について、ソースコードの変更点をご紹介しました。変更前のソースコードには、SQLコメントの位置に埋め込む値の中から「/* 」や「 */」といった部分文字列…

オープンソースの脆弱性対策に学ぶ ~DrupalのSQLインジェクション対策(SA-CORE-2015-003、CVE-2015-6659)~ 1/4
ここ数年、個人情報の漏えいや不正アクセスといったセキュリティ事故のニュースが毎日のように流れ、全く衰える気配を見せません。今や、システムを開発する技術者にとってもセキュリティは欠かせない技術との認識が広まり、セキュリティ事故の原因と…