無料でWebアプリにありがちな脆弱性を調べて治す(from id:ripjyrさんとこ)
http://www.atmarkit.co.jp/fjava/rensai4/safetomcat_05/safetomcat_05_1.html
なんかひどひ。
niktoって既知の脆弱性しか調べないんじゃなかったっけ?パラメータの改ざんとか、XSS、セッションハイジャックとか調べないと思ったけど、違ったかなぁ?
それに、XSSが発生することが多いのはGETのクエリパラメータって言うより、POST、GETに関係なく、Hiddenとか、ListBoxとか、Optionとか、CheckBoxなんだけど・・・
対策もかなり微妙・・・基本はエスケープで間違いはないんだけれども、XSSの対策が難しいところは、入力データを埋め込む場所によって有効な対策が微妙に異なるところだと思う。そういったことを書いてないのは微妙かなぁ?といいつつ自分の記事はどうだったっけ?w
後は、開発したWebアプリケーションのセキュリティ検査を自動でやってくれるツールってのはそんなになくて困ってたりw
それに、TRACEがたいしたことないって・・・そんなことないよなぁと思いググって見た。
エラーメッセージの危険性:Webアプリケーションに潜むセキュリティホール(4) - @IT
結構危険ですよ、だんなぁ
(追記:2008/3/7)
ツッコミうけたみたいなのでw
各ブラウザでのTRACEの挙動を確認してないのでわかりませんが、TRACEは問題ないと言い切ってしまうのはちょっとなあと思いますね。