本ページは、このようなセキュリティ上の問題が存在する事を衆知徹底させる事を目的とする。
衆知徹底する事で、すべてのコンピュータ・ソフトウェアからこのセキュリティ問題を駆逐し、コンピュータ・ソフトウェア環境をより安全なものとなる事を期待する。

基本テクニック

Link IPA ISEC セキュア・プログラミング講座 IPA ISEC セキュア・プログラミング講座2 書籍「セキュアWebプログラミング Tips集」 JPCERT/CC クリックジャッキング対策 〜X-FRAME-OPTIONSについて〜 WizardBible 45 (SSL の負荷試験記事あり)、[seasurfers:0843] も併せて読むとよい 脆弱性体質の改善 - C/C++セキュアコーディング入門 (1) 脆弱性体質の改善 - C/C++セキュアコーディング入門 (2) 脆弱性体質の改善 - C/C++セキュアコーディング入門 (3) 教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい] IEの引用符の解釈 教科書に載らないWebアプリケーションセキュリティ 第2回 [無視できない] IEのContent-Type無視 第01回 ■ぜい弱性がなくならない本当の理由(わけ) 第02回 ■ぜい弱性対策の考え方 -- そのアプリケーション，何年使う予定ですか 第03回 ■ぜい弱性対策の考え方 -- 「保証なし」が原則のオープンソースは運用体制が超重要 第04回 ■ぜい弱性対策の考え方 -- 5W1H式ガイドラインを踏まえてRFPを作る 第05回 ■注目される文字コードのセキュリティ問題 第06回 ■異なる文字集合への変換がぜい弱性につながる 第07回 ■文字エンコーディングが生み出すぜい弱性を知る 第08回 ■主要言語の文字エンコーディングの対応状況を押さえる 第09回 ■上流工程で文字集合仕様と文字エンコーディングを決定する 第10回 ■保険的対策として欠かせない入力値の検証 第11回 ■制御文字や不正な文字エンコーディングによるぜい弱性を知ろう 第12回 ■主要言語別：入力値検証の具体例 第01回 UTF-7によるクロスサイトスクリプティング攻撃 [前編] (本当は怖い文字コードの話) 第02回 UTF-7によるクロスサイトスクリプティング攻撃 [後編] (本当は怖い文字コードの話) 第03回 US-ASCIIによるクロスサイトスクリプティング (本当は怖い文字コードの話) 第04回 UTF-8の冗長なエンコード (本当は怖い文字コードの話) 第05回 不正なバイト列の埋め込み (本当は怖い文字コードの話) 第06回 先行バイトの埋め込み (本当は怖い文字コードの話) 第07回 Unicodeからの多対一の変換 [前編] (本当は怖い文字コードの話) 第08回 Unicodeからの多対一の変換 [後編] (本当は怖い文字コードの話) 第09回 文字コードが引き起こす表示上の問題点 [前編] (本当は怖い文字コードの話) 第10回 文字コードが引き起こす表示上の問題点 [後編] (本当は怖い文字コードの話) (Twitter の XSS 脆弱性に関連して) 構造化テキストの正しいエスケープ手法について String::Filter っていうモジュール書いた - 続: (Twitter の XSS 脆弱性に関連して) 構造化テキストの正しいエスケープ手法について 構造化テキストの間違ったエスケープ手法について Happy 10th birthday Cross-Site Scripting! PHP と Web アプリケーションのセキュリティについてのメモ セキュリティ関連のメモ The ShadowPenguin Documents No.7 - スタックオーバーフローの危険性 - Written by うにゅん PHPのescapeshellcmdの危険性 escapeshellcmdの危険な実例 X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! 1分でわかる「X-ナントカ」HTTPレスポンスヘッダ 8 Basic Rules to Implement Secure File Uploads PHPのバージョン表記の隠蔽 Google Code University What Every Web Programmer Needs To Know About Security Dave Dittrich's Home Page General Computer Security Awareness

CSRF (Cross-Site Request Forgeries)

Link 開発者のための正しいCSRF対策

アーカイバの脆弱性

Link 圧縮ファイル解凍の脆弱性 LHA書庫の脆弱性

ヘッダ・インジェクション

Security of HTTPHeader ver1.0 (2007/03/05) Security of HTTPHeader ver1.1 (2007/03/30) Security of HTTPHeader ver1.2 (2007/10/30) Security of WebAppli&Mail ver1.0 (2007/03/27)

Unicodeとサニタイジング回避テクニック

Unicodeバグについて ver1.0 (2005/11/15) Unicodeとサニタイジング回避テクニック ver1.2 (2006/12/06) Unicodeとサニタイジング回避テクニック ver1.3 (2007/02/20) Unicodeとサニタイジング回避テクニック ver1.4 (2007/03/17) Unicodeとサニタイジング回避テクニック ver1.5 (2007/03/18) Unicodeとサニタイジング回避テクニック ver1.6 (2009/02/14)

ZIP作成時のUNICODEによって分離された文字を使ったサニタイズ回避法について

ZIP作成時のUNICODEによって分離された文字を使ったサニタイズ回避法について ver1.0 (2010/04/28)

Apache-Tomcat と冗長なUTF-8 表現 (CVE-2008-2938 検証レポート)

Apache-Tomcat と冗長なUTF-8 表現 (CVE-2008-2938 検証レポート) ver0.1 (2008/08/26) Apache-Tomcat と冗長なUTF-8 表現 (CVE-2008-2938 検証レポート) ver0.2 (2008/08/27) Apache-Tomcat と冗長なUTF-8 表現 (CVE-2008-2938 検証レポート) ver0.3 (2008/09/15) Apache-Tomcat と冗長なUTF-8 表現 (CVE-2008-2938 検証レポート) ver1.0 (2008/09/25)

MS00-057 最終検証レポート

MS00-057 最終検証レポート ver1.0 (2008/10/27)

Memcached Injection

Memcached Injection ver1.0 (2008/12/19) php memcached クライアントにおける memcached injection について memcachedの活用と運用 実践編 第2回 memcachedのセキュリティと脆弱性 1 memcachedの活用と運用 実践編 第2回 memcachedのセキュリティと脆弱性 2 Rails3からmemcachedを利用する

LD_PRELOAD について

FreeBSD-SA-09:05.telnetd と LD_PRELOAD について ver1.0 (2009/02/20) FreeBSD-SA-09:05.telnetd と LD_PRELOAD 環境変数について (2009/03/16)

LD_PRELOAD について

VBScriptエスケープ法について ver1.0 (2009/05/26)

Prepared StatementとUndefined Attack

Prepared StatementとUndefined Attack ver1.0 (2010/03/09)

Session Adoption in Session Fixation

Session Adoption in Session Fixation ver1.0 (2010/03/09)

SMTP Command Injection

.NET Framework上の SMTP Command Injectionについて (2011/01/11) .NET Frameworkに潜む脆弱性「SMTPコマンド・インジェクション」とその対処法

Cookie の HttpOnly 属性

Mitigating Cross-site Scripting With HTTP-only Cookies 良いニュースと悪いニュース Cookie の HttpOnly 属性 HttpOnly - OWASP

OS Command Injection

Perl における system 関数の振舞い