PHP・Web系プログラム情報まとめ

■ ■

高木浩光＠自宅の日記 - プログラミング解説書籍の脆弱性をどうするか, 「サニタイズ言うなキャンペーン」とは何か, ASPとかJSPとかPHPとかERBとか、逆だ..　[　情報元へ　]
■ プログラミング解説書籍の脆弱性をどうするか 印刷されて流通する書籍に脆弱性がある、つまり掲載されているサンプルコードにズバリ脆弱性があるとか、脆弱性を産みやすいコーディングスタイルを身につけさせている解説があり、それが脆弱なプログラマを生産し続ける根源になっている問題は、「なんとかしないといけ...

ethna.jpやjp2.php.netに発生したトラブルについて - maru.cc@はてな　[　情報元へ　]
本日起こった、ethna.jp や、jp2.php.net のサイトに、ActiveX や Flash の脆弱性をついた攻撃をする html を読み込む iframeを差し込まれるというトラブルが発生しました。ちょっとかかわったので、流れを記録として残しておこうと思います。 ethna.jpの第一...

高木浩光＠自宅の日記 - プログラミング解説書籍の脆弱性をどうするか, 「サニタイズ言うなキャンペーン」とは何か, ASPとかJSPとかPHPとかERBとか、逆だ..　[　情報元へ　]
ここで、「'No.' や '題名:' や '名前:' や '日時:' の定数文字列まで htmlspecialchars に通すなんて無駄じゃないか」などということを考えては いけない。いまどき、そんな貧民的プログラミング思考をするのは プログラム職人として恥ずかしいことだ。 元々、HTMLを出力...

高木浩光＠自宅の日記 - プログラミング解説書籍の脆弱性をどうするか, 「サニタイズ言うなキャンペーン」とは何か, ASPとかJSPとかPHPとかERBとか、逆だ..　[　情報元へ　]
■ プログラミング解説書籍の脆弱性をどうするか 印刷されて流通する書籍に脆弱性がある、つまり掲載されているサンプルコードにズバリ脆弱性があるとか、脆弱性を産みやすいコーディングスタイルを身につけさせている解説があり、それが脆弱なプログラマを生産し続ける根源になっている問題は、「なんとかしないといけ...

何故かあたり前にならない文字エンコーディングバリデーション　[　情報元へ　]
私が５年前（2004年）に「Webアプリセキュリティ対策入門」を執筆していた時には、既に壊れた文字エンコーディングなどの不正な文字エンコーディングを利用したJavaScriptインジェクションやSQLインジェクション攻撃は比較的広く知られていました。この問題は当時のスラッシュドットジャパンでも取り...

TechCrunch Japanese アーカイブ � FirewallScript、PHPベースのソフトウェア・ファイアウォール　[　情報元へ　]
FirewallScriptはソフトウェア・ベースのセキュリティー・サービスをローンチした。このソフトはPHP5さえサポートしていればどんなサーバーでも、共有ホストのサーバーでさえも作動する。ファイアウォールとしての機能は、人気のあるオープンソースのファイアウォールModSecurityによく似て...

第11回■制御文字や不正な文字エンコーディングによるぜい弱性を知ろう：ITpro　[　情報元へ　]
前回，入力値検証をセキュリティ対策として実施すべき理由を説明する中で制御文字や不正な文字エンコーディングの問題を指摘した。今回は，その具体例として「ヌルバイト攻撃」と「冗長なUTF-8によるディレクトリ・トラバーサル」を説明する。制御文字悪用の代表格「ヌルバイト攻撃」ヌルバイト攻撃とは，ASCII...

第12回■主要言語別：入力値検証の具体例：ITpro　[　情報元へ　]
これまで2回にわたってWebアプリケーションにおける入力値検証とセキュリティ対策の関係を説明してきた。入力値検証はセキュリティ上の根本的対策ではないが，保険的な対策として効果が期待でき，特に制御コードや不正な文字エンコーディングによる攻撃対策には有効であることを説明した。今回は，Webアプリケーシ...

LAMPのPをPHPからPerl/Python/Rubyに替えるだけではセキュリティは向上しない証拠　[　情報元へ　]
誤解を招く記事 - LAMPセキュリティを強化する4つの方法で紹介した記事ように、最近「言語を替えるとセキュリティが向上する」といった間違った認識が広まりつつあるように思えます。結論からいうと、セキュリティに関連する機能が同等な言語であれば「言語を替えるとセキュリティが向上するいう考え」は妄想です...

[　← 前の画面に戻る　]