Webサービスのユーザー情報のテーブルにクレジットカードなどの流出したら困る情報を保存するのはとても怖いことです。 そんな情報は保存しないことが望ましいわけですが、ビジネス的な事情でカード情報を保存せざるを得ないケースも当然あります。 少なくともWEBサーバから直結してるサーバーに、そんな情報は置きたくないところで、最低限カード情報サーバは裏側に専用... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
PHPはスクリプト言語であるため、PHPでアプリケーションを作成して配布すると、「オープンソースとして公開する/しない」という意図にかかわらず、ソースコードが読める状態になってしまいます。しかし、商用製品などでは、クライアントにソースコードを公開したくない場合もあるでしょう。今回は、PHPのソースコードをバイナリ/難読/暗号化する「Zend Guard」を紹介し... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
SQLインジェクション対策は非常に簡単です。しかしブラウザに対する「スクリプトインジェクション」はなかなか無くなりません。スクリプトインジェクションが無くならない10の理由をあげてみます。 複雑な攻撃経路と対策 前回紹介したように,ブラウザに対するスクリプトインジェクション攻撃の経路は3種類あります。エスケープ方法も数種類あります。すべての出力を完全... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
問題:以下のコードはセキュリティ上大きな問題となる脆弱な処理が含まれています。セキュリティ上のベストプラクティス、他の自動ログインの実装方法と比較し、以下のコードの脆弱性を詳しく述べよ。 if (serendipity_authenticate_author($serendipity['POST']['user'], $serendipity['POST']['pass'], false, $use_external)) { if (empty($serendipity['POST']['auto'])) { serendipity_deleteCookie('author_information'); return false; } els... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
University of Denver卒。同校にてコンピュータサイエンスとビジネスを学ぶ。株式会社シーエーシーを経て,エレクトロニック・サービス・イニシアチブ有限会社を設立。 オープンソース製品は比較的古くから利用し,Linuxは0.9xのころから利用している。オープンソースシステム開発への参加はエレクトロニック・サービス・イニシアチブ設立後から。PHPプロジェクトでは,PostgreSQLモ... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
PHP Security Blogでpreg_matchをフィルターとして使用する際の注意点について言及されています。 [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
|
shimookaです。 皆さんはPHPでデータの暗号化・復号化をする必要に迫られた場合、どのようにしているでしょうか?今回は、PHPで利用可能なモジュールやパッケージとそれらのサンプルを3つほど挙げてみました。 mcrypt拡張モジュールを使った暗号化 libmcryptを利用したPHP拡張モジュールです。DES、3DES、Blowfish、RIJNDAEL(ラインダール:AES暗号とも呼ばれる)、Blowfishなどのブロック暗... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
本書は、セキュリティを意識したPHPプログラミングのポイントをわかりやすく解説するPHPセキュリティの入門書です。主要な攻撃パターンごとに、セキュリティを確保するために必要となるPHPプログラミングの基本的なアイデアを示して、有効な実践を詳しく解説。PHPセキュリティの基本を効率よく学ぶことができます。PHPプログラミングの入門者から、中級者以上にも役立つテ... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
PHP4.2.0(2003/05) から、register_globals の初期値が Off に変更されました。これにより、これまで稼動していたスクリプトや、書籍に記載されているサンプルコードが動かないといった現象に、戸惑った方もいらっしゃるのではないでしょうか。 セキュリティー強化の為このような変更がなされた訳ですが、入門者や初心者にとっては、PHPの都合に振り回されているように感じるばかり... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
ネタではなく極めてマジメなBOT対策用モジュール、それが「妹認証」です。 MITライセンスで無償提供されており、質問文と回答文に日本語を完全にサポートし、質問文はPHP+GD+TTFフォントで画像出力を実現。標準でバンドルされている妹の名前は「れいにゃ」となっており、質問文やキャラクターを自分でカスタマイズすることも可能です。 実際の動作デモやダウンロード、導入... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
ここらへんは設定の問題や、回避処理を忘れずに入れておけば問題ないのだけど、HTTPからHTTPS、HTTPSからHTTPへのセッションの移行とかが必要になるとちょっと別口の方法を用意しておかないと簡単には実現できない。ようわ、 HTTP中をセッションID12345で移動しているとして、 SSLに移行時には同じIDが危険なので67890に変更する ただ、Cookieにsecureフラグが... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
PHP 4.3.11 と PHP 5.0.4 が公開されました。非常に多くのバグ修正と Oracle Instant Client の追加、libmbfl ライブラリのアップデートなどが行われています。 unserialize(), swf_definepoly(), getimagesize() に関連するセキュリティ問題の修正が含まれており、バージョンアップすることが強く推奨されています。 PHP 5.0.4 では、PEAR がインストールされないという問題があるようです。([PHP-DEV] PHP 5.0.4 PEAR... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
国内外のメディアで「画像ファイルに攻撃用のPHPコードが含まれていた」と比較的大きく取り上げられています。しかし、この攻撃手法は古くから知られていた方法です。条件は多少厳しくなりますがPerl, Ruby, Pythonでも同様の攻撃は考えられます。PHPの場合は言語仕様的に他の言語に比べ攻撃が容易です。 典型的な攻撃のシナリオは次の通りです。 1.アバダなどの画像ファイル... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
もし、scirpt タグや style タグ内でこれらの文字が無くても実行可能な Javascript が入力できる場合、クロスサイトスクリプティングに対処したことにはなりません。どうしてもその必要がある場合は、Javascript として実行されそうな文字列を削除するなど、非常に複雑な処理が必要になります。 例えば、以下のような場合でも Javascript を実行するブラウザがあります。 <style type="text... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
|
もし、scirpt タグや style タグ内でこれらの文字が無くても実行可能な Javascript が入力できる場合、クロスサイトスクリプティングに対処したことにはなりません。どうしてもその必要がある場合は、Javascript として実行されそうな文字列を削除するなど、非常に複雑な処理が必要になります。 例えば、以下のような場合でも Javascript を実行するブラウザがあります。 <style type="text... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
iframeが仕込まれています。 918 : ニーチュ(福岡県):2008/06/02(月) 07:34:44.02 ID:fDXxYyKb0 憶測も交えてもうちょっと。長くなるので分けます pp■cool0■biz/bmw/am1■htm?34-8681 ゆずソフトのサイトにiframeで仕込まれていたURL。以下の各種URLを呼び出す。 pp■cool0■biz/ax14■htm VBScriptコードを生成する。IE以外は関係ない。 ActiveXコントロールの脆弱性をつくもの。 2006年の脆弱... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
『 HTMLPurifierisastandards-compliantHTMLfilterlibrarywritteninPHP.HTMLPurifierwillnotonlyremoveallmaliciouscode(betterknownasXSS)withathoroughlyaudited,secureyetpermissivewhitelist,itwillalsomakesureyourdocumentsarest 』 [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
PHPでは、HTMLエスケープ用の関数としてhtmlspecialcharsが用意されています。今日の日記では、htmlspecialcharsについて書きます。これと近い働きをするhtmlentitiesについても触れます。htmlspecialcharsの基本こんな感じで使います。 echo htmlspecialchars($string, ENT_QUOTES, "UTF-8"); ?> 関数の引数は3つあります。引数省略概要第一引数不可エスケープ対象の文字列第二引数可クォート文字の扱い(後述... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
に書いた Ruby でのセッション管理に続けて、 PHP でのセッション管理を試している。 ちょっと調べてみたところ、いくつか注意することがあるので、メモとして残しておく。 ※ あくまで個人メモです。これだけをやればいい訳じゃないので注意。 なお、セキュリティについての詳細な情報は「PHP と Web アプリケーションのセキュリティについてのメモ」が参考になります。 (1) URL... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
まず先のブログエントリで私が誤解していたため解りづらい状態になっていました。register_globals=offであればアドバイザリ(http://www.hardened-php.net/advisory_202005.79.html)の影響は受けません。この場で深くお詫びいたします。 いくつかのパターンが考えられますが今回Hardened-PHPプロジェクトからのアドバイザリで指摘されている問題によって影響を受ける環境は次のようになります。 ... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
