2009/09/15 23:11:12
13 
2 
1 www.atmarkit.co.jp [
この元コンテンツへ ]
川口 洋 株式会社ラック JSOCチーフエバンジェリスト兼セキュリティアナリスト CISSP 2009/9/15 ■川口、全国を飛び回ってます。皆さんこんにちは、川口です。先日、私は島根に出張をしていました。せっかく島根という地に行くのですから各地の方と交流したいと思い、山陰ITPro勉強会(通称 SITW:しちゅー)での勉強会に参加してきました。実は8月27日の夕方に、“勉強会エバンジェリスト”...
[
← 前の画面 ]
【 PR 】 集合知の活用、情報まとめ [
ニコニコ風 ] [
関連記事 ] [
Feeling Lucky ]
■ この情報のコメント・メモ ■
configいまさらだけどふぁいるを削除するんじゃなくってconfigでぃれくとりの書き込み権限を削除しないとかなぁ?あとは類推されないでぃれくとり名に変更しておくと日々の無駄なあくせすを減らせてすてきかも? [ mumincacao ]
山陰ITPro勉強会へお越しいただきありがとうございました。 [ isol ]
phpMyAdminに対する攻撃の実被害に遭う事例が増えている/「setup.phpスクリプトに特殊なHTTPリクエストを送ることで、任意のPHPコードを作成」する攻撃/リモートからコマンド実行が可能となるPHPコードが作成される事例 [ tsupo ]
phpMyAdminに対する攻撃が発生/実被害に遭う事例が増えている/「setup.phpスクリプトに特殊なHTTPリクエストを送ることで、任意のPHPコードを作成」する攻撃/リモートからコマンド実行が可能となるPHPコードが作成される事例 [ tsupo ]
[
← 前の画面に戻る ]
■ ■
高木浩光@自宅の日記 - プログラミング解説書籍の脆弱性をどうするか, 「サニタイズ言うなキャンペーン」とは何か, ASPとかJSPとかPHPとかERBとか、逆だ.. [ 情報元へ ]
■ プログラミング解説書籍の脆弱性をどうするか 印刷されて流通する書籍に脆弱性がある、つまり掲載されているサンプルコードにズバリ脆弱性があるとか、脆弱性を産みやすいコーディングスタイルを身につけさせている解説があり、それが脆弱なプログラマを生産し続ける根源になっている問題は、「なんとかしないといけ...
高木浩光@自宅の日記 - プログラミング解説書籍の脆弱性をどうするか, 「サニタイズ言うなキャンペーン」とは何か, ASPとかJSPとかPHPとかERBとか、逆だ.. [ 情報元へ ]
■ プログラミング解説書籍の脆弱性をどうするか 印刷されて流通する書籍に脆弱性がある、つまり掲載されているサンプルコードにズバリ脆弱性があるとか、脆弱性を産みやすいコーディングスタイルを身につけさせている解説があり、それが脆弱なプログラマを生産し続ける根源になっている問題は、「なんとかしないといけ...
セキュリティ専門家でも間違える!文字エンコーディング問題は難しいのか? [ 情報元へ ]
一見徳丸さんのブログは分かりやすいように思えますが、それは単純な実験により分かりやすいように見えるだけで複数の間違いがあります。その間違いとは意図の取り違い - 誤読 言語の仕様と実装の理解不足 HTTPやPHP仕様の理解不足 セキュリティ対策をすべき場所の理解不足です。(※0) 徳丸さんは非常勤...
ethna.jpやjp2.php.netに発生したトラブルについて - maru.cc@はてな [ 情報元へ ]
本日起こった、ethna.jp や、jp2.php.net のサイトに、ActiveX や Flash の脆弱性をついた攻撃をする html を読み込む iframeを差し込まれるというトラブルが発生しました。ちょっとかかわったので、流れを記録として残しておこうと思います。 ethna.jpの第一...
徳丸浩の日記 - 書籍「はじめてのPHPプログラミング基本編5.3対応」にSQLインジェクション脆弱性 [ 情報元へ ]
SQLインジェクション対策はおすみですか? 開発開始時点からのコンサルティングから、公開済みWebサイトの脆弱性検査、 脆弱性発見後の適切な対策までid:hasegawayosuke氏にそそのかされるような格好で、「はじめてのPHPプログラミング基本編5.3対応」という書籍を購入した。本書は、ウノ...
バーチャルホスト時にクッキーハイジャックする例が紹介されています - PHPプロ!ニュース [ 情報元へ ]
にて、バーチャルホストにおけるクッキーハイジャックの脆弱性が報告されています。共用サーバーであれば、他のWebアプリケーションのクッキー情報を取り出すことができるため、特に被害を受ける可能性が高くなるでしょう。 以下のPHPスクリプトを実行することで、同じホストに設置されてているWebアプリケーシ...
まちゅダイアリー - PHP の extract 関数は危険という話 [ 情報元へ ]
■1 PHP の extract 関数は危険という話ギークなお姉さんは好きですか - <title>をクールにしてみた!で、こんなコードが紹介されている。<?phpextract($_GET);mysql_connect('localhost','ユーザ名','パスワード');mysql_sele...
高木浩光@自宅の日記 - プログラミング解説書籍の脆弱性をどうするか, 「サニタイズ言うなキャンペーン」とは何か, ASPとかJSPとかPHPとかERBとか、逆だ.. [ 情報元へ ]
ここで、「'No.' や '題名:' や '名前:' や '日時:' の定数文字列まで htmlspecialchars に通すなんて無駄じゃないか」などということを考えては いけない。いまどき、そんな貧民的プログラミング思考をするのは プログラム職人として恥ずかしいことだ。 元々、HTMLを出力...
なぜPHPアプリにセキュリティホールが多いのか?:第19回 文字エンコーディングとセキュリティ(1)|gihyo.jp … 技術評論社 [ 情報元へ ]
なぜPHPアプリにセキュリティホールが多いのか?第19回 文字エンコーディングとセキュリティ(1)2008年12月12日大垣靖男PHP, セキュリティ, プログラミング, 文字エンコーディング文字エンコーディングを正しく,厳格に取り扱わないと,システムのセキュリティに大きく影響します。しかし,広く...
[
← 前の画面に戻る ]
