知っていると役立つかな?
IPAより、ウェブサイトの脆弱性検出ツール
iLogScannerが無償提供されました。
http://www.ipa.go.jp/security/vuln/iLogScanner/
ログを解析して、SQLインジェクションの形跡が
ないかを調査するものです。
今、テストで使ってみました。
出力は、html形式ですね。
XSSなどは、今後対応だそうですので、
期待大ですね。
まあ、今でも、SQLインジェクション対策すら
行っていないサイトもあるんでしょうけど、
さすがに、こういうのが提供されたら、
確認はやらざるを得ないでしょう。
ちなみに、IPAの佐名木 智貴さんという方が
つい最近、下記の著書を出されています。
セキュアWebプログラミングTips集という
非常に濃厚な内容の、しかしわかりやすく
図なども豊富に取り入れた書籍が
出ています。
こないだRuby on Railsの書籍とともに
買ってきましたが、非常に濃いので、
セキュリティに関心がある管理者は
一読、いや十読をオススメしますよ。
P21〜P42までは、HTTP通信の基礎ですが、
巷の雑誌にある、HTTPの基礎より
数倍丁寧に解説されています。
特に、P27で、
パケットキャプチャによって、実際に確認するという
基本的で大事なことを書かれています。
サーバー系仕事をする人で、
パケットキャプチャーを行う人は、
さすがに最近増えましたが、
まだまだネットワークエンジニアのように
当たり前ではないので、こういう本を
読みつつ、丁寧に追いかけるようにすると
いいですね。
書籍のレビューは、
どんどん追加します。
■セキュアWebプログラミングTips集
価格:¥2,940(税込)
出版社: ソフトリサーチセンター
