PHP・Web系プログラム情報まとめ

■ ■

へぼへぼCTO日記 - CakePHPのgetClientIPを使っていいのは小学生までだよねー　[　情報元へ　]
PHPで開発をすることが多くなりPerlの良さを再確認している今日この頃ですが皆さんいかがお過ごしでしょうか。 さて、今日は今もっともナウいPHPのWebアプリケーションフレームワークであるCakePHPのお話を一つ。 CakePHPには組み込みコンポーネントとしてリクエストハンドラ(Reques...

徳丸浩の日記 - 書籍「はじめてのPHPプログラミング基本編5.3対応」にSQLインジェクション脆弱性　[　情報元へ　]
SQLインジェクション対策はおすみですか? 開発開始時点からのコンサルティングから、公開済みWebサイトの脆弱性検査、 脆弱性発見後の適切な対策までid:hasegawayosuke氏にそそのかされるような格好で、「はじめてのPHPプログラミング基本編5.3対応」という書籍を購入した。本書は、ウノ...

高木浩光＠自宅の日記 - プログラミング解説書籍の脆弱性をどうするか, 「サニタイズ言うなキャンペーン」とは何か, ASPとかJSPとかPHPとかERBとか、逆だ..　[　情報元へ　]
■ プログラミング解説書籍の脆弱性をどうするか 印刷されて流通する書籍に脆弱性がある、つまり掲載されているサンプルコードにズバリ脆弱性があるとか、脆弱性を産みやすいコーディングスタイルを身につけさせている解説があり、それが脆弱なプログラマを生産し続ける根源になっている問題は、「なんとかしないといけ...

高木浩光＠自宅の日記 - プログラミング解説書籍の脆弱性をどうするか, 「サニタイズ言うなキャンペーン」とは何か, ASPとかJSPとかPHPとかERBとか、逆だ..　[　情報元へ　]
ここで、「'No.' や '題名:' や '名前:' や '日時:' の定数文字列まで htmlspecialchars に通すなんて無駄じゃないか」などということを考えては いけない。いまどき、そんな貧民的プログラミング思考をするのは プログラム職人として恥ずかしいことだ。 元々、HTMLを出力...

第11回■制御文字や不正な文字エンコーディングによるぜい弱性を知ろう：ITpro　[　情報元へ　]
前回，入力値検証をセキュリティ対策として実施すべき理由を説明する中で制御文字や不正な文字エンコーディングの問題を指摘した。今回は，その具体例として「ヌルバイト攻撃」と「冗長なUTF-8によるディレクトリ・トラバーサル」を説明する。制御文字悪用の代表格「ヌルバイト攻撃」ヌルバイト攻撃とは，ASCII...

セキュリティ専門家でも間違える！文字エンコーディング問題は難しいのか?　[　情報元へ　]
一見徳丸さんのブログは分かりやすいように思えますが、それは単純な実験により分かりやすいように見えるだけで複数の間違いがあります。その間違いとは意図の取り違い - 誤読 言語の仕様と実装の理解不足 HTTPやPHP仕様の理解不足 セキュリティ対策をすべき場所の理解不足です。(※0) 徳丸さんは非常勤...

第3回■ぜい弱性対策の考え方 -- 「保証なし」が原則のオープンソースは運用体制が超重要：ITpro　[　情報元へ　]
第3回■ぜい弱性対策の考え方 -- 「保証なし」が原則のオープンソースは運用体制が超重要OSやミドルウエア選定のポイント（2）記事一覧へ >>Webアプリケーションのセキュリティを考えるうえで，まずOSやミドルウエアといった基盤ソフトウエアをセキュアな状態にすることが重要であることは，前回述べた。...

狙われるphpMyAdmin、攻撃のきっかけは？ − ＠IT　[　情報元へ　]
川口　洋 株式会社ラック JSOCチーフエバンジェリスト兼セキュリティアナリスト CISSP 2009/9/15 ■川口、全国を飛び回ってます。皆さんこんにちは、川口です。先日、私は島根に出張をしていました。せっかく島根という地に行くのですから各地の方と交流したいと思い、山陰ITPro勉強会（通称...

何故かあたり前にならない文字エンコーディングバリデーション　[　情報元へ　]
私が５年前（2004年）に「Webアプリセキュリティ対策入門」を執筆していた時には、既に壊れた文字エンコーディングなどの不正な文字エンコーディングを利用したJavaScriptインジェクションやSQLインジェクション攻撃は比較的広く知られていました。この問題は当時のスラッシュドットジャパンでも取り...

[　← 前の画面に戻る　]