脆弱性検査ソフトの利用を開発標準で徹底
東京海上日動システムズは、Webアプリケーションの脆弱性検査ツール「AppScan」を導入。Webアプリケーションの開発標準プロセスに組み込んだ――。AppScanを開発・販売するウォッチファイア・ジャパンが8月28日に、こう発表した。実際の利用は今年3月からである。 導入のきっかけについて東京海上日動システムズの経営企画室は、「他社がセキュリティ侵害に見舞われたこと」と話す。同社は東京海上日動火災保険を中核とするミレア・グループ各社の情報システムの開発・保守を担当している。20万台のクライアント端末を擁する代理店オンライン・システムなど、東京海上日動の100種類に及ぶWebアプリケーションの“堅牢性”を高めるべく、他社の障害事例を分析・研究して、ミレア・グループ内に防止策を展開する対策委員会を設けている。 「正直、これまでの脆弱性対策が100%と言い切れないところがあった。脆弱性検査の観
入力値検証の話 - T.Teradaの日記 - 2007-09-08
Webアプリケーションのセキュリティ対策としての入力値検証について議論されています。 そろそろ入力値検証に関して一言いっとくか: Webアプリケーション脆弱性対策としての入力値検証について - 徳丸浩の日記(2007-09-05) 思ったことをいくつか書きます。 徳丸さんの日記は、ユーザがテキストボックスなどで自由に値を入力できる住所などのデータを主に対象としたものだと思う。 ただ、ユーザの自由な入力を起源としないデータも存在する(ここでは「システム起源のデータ」と呼ぶ)。 hidden、リンクURLに埋め込まれているGETパラメータ、Cookieなどには、この手のデータが入ることが多い。 システム起源のデータの多くは、ある型に従うことが期待されるもので、原則的に入力値検証をすべきもの(BMPの「ピクセルあたりビット数」と同じような感覚)。 システム起源のデータも、エスケープさえすればイン
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
