PHP・Web系プログラム情報まとめ

第3回■ぜい弱性対策の考え方 -- 「保証なし」が原則のオープンソースは運用体制が超重要：ITpro　[　情報元へ　]
第3回■ぜい弱性対策の考え方 -- 「保証なし」が原則のオープンソースは運用体制が超重要OSやミドルウエア選定のポイント（2）記事一覧へ >>Webアプリケーションのセキュリティを考えるうえで，まずOSやミドルウエアといった基盤ソフトウエアをセキュアな状態にすることが重要であることは，前回述べた。...

セキュリティ対策を行うべき部分 - 自分が作っている部分　[　情報元へ　]
アプリケーション開発者がセキュリティ対策を行うべき部分とはどこか?当たり前ですがアプリケーションです。アプリケーションとは広い意味でのアプリケーションです。Webアプリの場合もあれば、ライブラリやモジュールであったり、フレームワークであったり、言語やサーバの場合もあります。すべてのアプリケーション...

LAMPのPをPHPからPerl/Python/Rubyに替えるだけではセキュリティは向上しない証拠　[　情報元へ　]
誤解を招く記事 - LAMPセキュリティを強化する4つの方法で紹介した記事ように、最近「言語を替えるとセキュリティが向上する」といった間違った認識が広まりつつあるように思えます。結論からいうと、セキュリティに関連する機能が同等な言語であれば「言語を替えるとセキュリティが向上するいう考え」は妄想です...

TechCrunch Japanese アーカイブ � FirewallScript、PHPベースのソフトウェア・ファイアウォール　[　情報元へ　]
FirewallScriptはソフトウェア・ベースのセキュリティー・サービスをローンチした。このソフトはPHP5さえサポートしていればどんなサーバーでも、共有ホストのサーバーでさえも作動する。ファイアウォールとしての機能は、人気のあるオープンソースのファイアウォールModSecurityによく似て...

高木浩光＠自宅の日記 - プログラミング解説書籍の脆弱性をどうするか, 「サニタイズ言うなキャンペーン」とは何か, ASPとかJSPとかPHPとかERBとか、逆だ..　[　情報元へ　]
ここで、「'No.' や '題名:' や '名前:' や '日時:' の定数文字列まで htmlspecialchars に通すなんて無駄じゃないか」などということを考えては いけない。いまどき、そんな貧民的プログラミング思考をするのは プログラム職人として恥ずかしいことだ。 元々、HTMLを出力...

ethna.jpやjp2.php.netに発生したトラブルについて - maru.cc@はてな　[　情報元へ　]
本日起こった、ethna.jp や、jp2.php.net のサイトに、ActiveX や Flash の脆弱性をついた攻撃をする html を読み込む iframeを差し込まれるというトラブルが発生しました。ちょっとかかわったので、流れを記録として残しておこうと思います。 ethna.jpの第一...

第12回■主要言語別：入力値検証の具体例：ITpro　[　情報元へ　]
これまで2回にわたってWebアプリケーションにおける入力値検証とセキュリティ対策の関係を説明してきた。入力値検証はセキュリティ上の根本的対策ではないが，保険的な対策として効果が期待でき，特に制御コードや不正な文字エンコーディングによる攻撃対策には有効であることを説明した。今回は，Webアプリケーシ...

バーチャルホスト時にクッキーハイジャックする例が紹介されています - PHPプロ！ニュース　[　情報元へ　]
にて、バーチャルホストにおけるクッキーハイジャックの脆弱性が報告されています。共用サーバーであれば、他のWebアプリケーションのクッキー情報を取り出すことができるため、特に被害を受ける可能性が高くなるでしょう。 以下のPHPスクリプトを実行することで、同じホストに設置されてているWebアプリケーシ...

徳丸浩の日記 - 書籍「はじめてのPHPプログラミング基本編5.3対応」にSQLインジェクション脆弱性　[　情報元へ　]
SQLインジェクション対策はおすみですか? 開発開始時点からのコンサルティングから、公開済みWebサイトの脆弱性検査、 脆弱性発見後の適切な対策までid:hasegawayosuke氏にそそのかされるような格好で、「はじめてのPHPプログラミング基本編5.3対応」という書籍を購入した。本書は、ウノ...