PHP・Web系プログラム情報まとめ

■ ■

セキュリティ対策を行うべき部分 - 自分が作っている部分　[　情報元へ　]
アプリケーション開発者がセキュリティ対策を行うべき部分とはどこか?当たり前ですがアプリケーションです。アプリケーションとは広い意味でのアプリケーションです。Webアプリの場合もあれば、ライブラリやモジュールであったり、フレームワークであったり、言語やサーバの場合もあります。すべてのアプリケーション...

狙われるphpMyAdmin、攻撃のきっかけは？ − ＠IT　[　情報元へ　]
川口　洋 株式会社ラック JSOCチーフエバンジェリスト兼セキュリティアナリスト CISSP 2009/9/15 ■川口、全国を飛び回ってます。皆さんこんにちは、川口です。先日、私は島根に出張をしていました。せっかく島根という地に行くのですから各地の方と交流したいと思い、山陰ITPro勉強会（通称...

バーチャルホスト時にクッキーハイジャックする例が紹介されています - PHPプロ！ニュース　[　情報元へ　]
にて、バーチャルホストにおけるクッキーハイジャックの脆弱性が報告されています。共用サーバーであれば、他のWebアプリケーションのクッキー情報を取り出すことができるため、特に被害を受ける可能性が高くなるでしょう。 以下のPHPスクリプトを実行することで、同じホストに設置されてているWebアプリケーシ...

高木浩光＠自宅の日記 - プログラミング解説書籍の脆弱性をどうするか, 「サニタイズ言うなキャンペーン」とは何か, ASPとかJSPとかPHPとかERBとか、逆だ..　[　情報元へ　]
ここで、「'No.' や '題名:' や '名前:' や '日時:' の定数文字列まで htmlspecialchars に通すなんて無駄じゃないか」などということを考えては いけない。いまどき、そんな貧民的プログラミング思考をするのは プログラム職人として恥ずかしいことだ。 元々、HTMLを出力...

第3回■ぜい弱性対策の考え方 -- 「保証なし」が原則のオープンソースは運用体制が超重要：ITpro　[　情報元へ　]
第3回■ぜい弱性対策の考え方 -- 「保証なし」が原則のオープンソースは運用体制が超重要OSやミドルウエア選定のポイント（2）記事一覧へ >>Webアプリケーションのセキュリティを考えるうえで，まずOSやミドルウエアといった基盤ソフトウエアをセキュアな状態にすることが重要であることは，前回述べた。...

セキュリティ専門家でも間違える！文字エンコーディング問題は難しいのか?　[　情報元へ　]
一見徳丸さんのブログは分かりやすいように思えますが、それは単純な実験により分かりやすいように見えるだけで複数の間違いがあります。その間違いとは意図の取り違い - 誤読 言語の仕様と実装の理解不足 HTTPやPHP仕様の理解不足 セキュリティ対策をすべき場所の理解不足です。(※0) 徳丸さんは非常勤...

第11回■制御文字や不正な文字エンコーディングによるぜい弱性を知ろう：ITpro　[　情報元へ　]
前回，入力値検証をセキュリティ対策として実施すべき理由を説明する中で制御文字や不正な文字エンコーディングの問題を指摘した。今回は，その具体例として「ヌルバイト攻撃」と「冗長なUTF-8によるディレクトリ・トラバーサル」を説明する。制御文字悪用の代表格「ヌルバイト攻撃」ヌルバイト攻撃とは，ASCII...

高木浩光＠自宅の日記 - プログラミング解説書籍の脆弱性をどうするか, 「サニタイズ言うなキャンペーン」とは何か, ASPとかJSPとかPHPとかERBとか、逆だ..　[　情報元へ　]
■ プログラミング解説書籍の脆弱性をどうするか 印刷されて流通する書籍に脆弱性がある、つまり掲載されているサンプルコードにズバリ脆弱性があるとか、脆弱性を産みやすいコーディングスタイルを身につけさせている解説があり、それが脆弱なプログラマを生産し続ける根源になっている問題は、「なんとかしないといけ...

まちゅダイアリー - PHP の extract 関数は危険という話　[　情報元へ　]
■1 PHP の extract 関数は危険という話ギークなお姉さんは好きですか - ＜title＞をクールにしてみた！で、こんなコードが紹介されている。<?phpextract($_GET);mysql_connect('localhost','ユーザ名','パスワード');mysql_sele...

[　← 前の画面に戻る　]