まとめたい。 フレームワークが持つ脆弱性に対して、開発者はどこまで認識すべきか 既知の問題だけ認識すればよいか？ 未知の問題に対してどう取り組むべきか フレームワークを使用する場合、開発者はどこまでテストすべきか フレームワーク固有の問題に関し…

'Apache Multiple Injection Vulnerabilities' - SecuriTeam ニセ脆弱性？

Apache,IISはchunkedリクエストに反応する GET / HTTP/1.1 Host: localhost Transfer-Encoding: chunked 4 hoge 0

shift-jis Java → %→null Nullpo %A→null Nullpo %A1→? %81→? ASP.NET → %→% %A→%A %A1→? %81→

最近、「セキュリティ対策はきりがない、いたちごっこになるだけじゃないか。」という声を耳にすることがよくあります。年々新しい攻撃手法が発見されるため、いつまで経っても安心できない、というのが理由のようです。 ただ、正しく実装している限り、いた…