Rubyの場合Rubyの場合は、Ruby1.9にて文字エンコーディングの取り扱いが大幅に改善され、RubyでCGIプログラムを記述した場合早期に文字エンコーディングの検証が入るようになっています。たとえば、以下のような、クエリ文字列を受け取って表示するだけの簡単なプログラム。#!/usr/loca...
アプリケーション開発者がセキュリティ対策を行うべき部分とはどこか?当たり前ですがアプリケーションです。アプリケーションとは広い意味でのアプリケーションです。Webアプリの場合もあれば、ライブラリやモジュールであったり、フレームワークであったり、言語やサーバの場合もあります。すべてのアプリケーション... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
川口 洋 株式会社ラック JSOCチーフエバンジェリスト兼セキュリティアナリスト CISSP 2009/9/15 ■川口、全国を飛び回ってます。皆さんこんにちは、川口です。先日、私は島根に出張をしていました。せっかく島根という地に行くのですから各地の方と交流したいと思い、山陰ITPro勉強会(通称... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
一見徳丸さんのブログは分かりやすいように思えますが、それは単純な実験により分かりやすいように見えるだけで複数の間違いがあります。その間違いとは意図の取り違い - 誤読 言語の仕様と実装の理解不足 HTTPやPHP仕様の理解不足 セキュリティ対策をすべき場所の理解不足です。(※0) 徳丸さんは非常勤... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
私が5年前(2004年)に「Webアプリセキュリティ対策入門」を執筆していた時には、既に壊れた文字エンコーディングなどの不正な文字エンコーディングを利用したJavaScriptインジェクションやSQLインジェクション攻撃は比較的広く知られていました。この問題は当時のスラッシュドットジャパンでも取り... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
|
何故かあたり前にならない文字エンコーディングバリデーションってあるように、いまいち文字コードの不正な判定による危険性ってのが分かってない。SJISの問題は、第5回■注目される文字コードのセキュリティ問題 - SQLインジェクションを根絶!セキュア開発の極意:ITproの記事がわかりやすかった。とい... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
ニュースphpMyAdminのエクスプロイトが出現、パッチ適用の確認をphpMyAdminの既知の脆弱性を突いたエクスプロイトが出回っている。2009年06月25日 09時16分 更新SANS Internet Storm Centerは6月24日、データベースのMySQLをWebブラウザで管理す... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
前回,入力値検証をセキュリティ対策として実施すべき理由を説明する中で制御文字や不正な文字エンコーディングの問題を指摘した。今回は,その具体例として「ヌルバイト攻撃」と「冗長なUTF-8によるディレクトリ・トラバーサル」を説明する。制御文字悪用の代表格「ヌルバイト攻撃」ヌルバイト攻撃とは,ASCII... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
第3回■ぜい弱性対策の考え方 -- 「保証なし」が原則のオープンソースは運用体制が超重要OSやミドルウエア選定のポイント(2)記事一覧へ >>Webアプリケーションのセキュリティを考えるうえで,まずOSやミドルウエアといった基盤ソフトウエアをセキュアな状態にすることが重要であることは,前回述べた。... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
|
PHP 5.2.7 およびそれ以前PHP の設定で display_errors=off である場合は、この問題の影響を受けません。 また、PHP 5.3.0alpha は、本脆弱性の影響を受けません。 PHP は、ウェブサーバに適したオープンソースのスクリプト言語およびその実行環境です。 PHP... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
なぜPHPアプリにセキュリティホールが多いのか?第19回 文字エンコーディングとセキュリティ(1)2008年12月12日大垣靖男PHP, セキュリティ, プログラミング, 文字エンコーディング文字エンコーディングを正しく,厳格に取り扱わないと,システムのセキュリティに大きく影響します。しかし,広く... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
PHPで開発をすることが多くなりPerlの良さを再確認している今日この頃ですが皆さんいかがお過ごしでしょうか。
さて、今日は今もっともナウいPHPのWebアプリケーションフレームワークであるCakePHPのお話を一つ。
CakePHPには組み込みコンポーネントとしてリクエストハンドラ(Reques... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
SQLインジェクション対策はおすみですか? 開発開始時点からのコンサルティングから、公開済みWebサイトの脆弱性検査、 脆弱性発見後の適切な対策までid:hasegawayosuke氏にそそのかされるような格好で、「はじめてのPHPプログラミング基本編5.3対応」という書籍を購入した。本書は、ウノ... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
■1 PHP の extract 関数は危険という話ギークなお姉さんは好きですか - <title>をクールにしてみた!で、こんなコードが紹介されている。<?phpextract($_GET);mysql_connect('localhost','ユーザ名','パスワード');mysql_sele... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
■ プログラミング解説書籍の脆弱性をどうするか 印刷されて流通する書籍に脆弱性がある、つまり掲載されているサンプルコードにズバリ脆弱性があるとか、脆弱性を産みやすいコーディングスタイルを身につけさせている解説があり、それが脆弱なプログラマを生産し続ける根源になっている問題は、「なんとかしないといけ... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
たまたま目に止まったブログがあるので紹介します。
PHP:session_set_save_handlerリファレンスマニュアルのサンプルにパス・トラバーサル脆弱性
http://www.tokumaru.org/d/20080818.html#p01
[php]session_set_sav... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
■ プログラミング解説書籍の脆弱性をどうするか 印刷されて流通する書籍に脆弱性がある、つまり掲載されているサンプルコードにズバリ脆弱性があるとか、脆弱性を産みやすいコーディングスタイルを身につけさせている解説があり、それが脆弱なプログラマを生産し続ける根源になっている問題は、「なんとかしないといけ... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
本日起こった、ethna.jp や、jp2.php.net のサイトに、ActiveX や Flash の脆弱性をついた攻撃をする html を読み込む iframeを差し込まれるというトラブルが発生しました。ちょっとかかわったので、流れを記録として残しておこうと思います。 ethna.jpの第一... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
ここで、「'No.' や '題名:' や '名前:' や '日時:' の定数文字列まで htmlspecialchars に通すなんて無駄じゃないか」などということを考えては いけない。いまどき、そんな貧民的プログラミング思考をするのは プログラム職人として恥ずかしいことだ。 元々、HTMLを出力... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
にて、バーチャルホストにおけるクッキーハイジャックの脆弱性が報告されています。共用サーバーであれば、他のWebアプリケーションのクッキー情報を取り出すことができるため、特に被害を受ける可能性が高くなるでしょう。 以下のPHPスクリプトを実行することで、同じホストに設置されてているWebアプリケーシ... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
FirewallScriptはソフトウェア・ベースのセキュリティー・サービスをローンチした。このソフトはPHP5さえサポートしていればどんなサーバーでも、共有ホストのサーバーでさえも作動する。ファイアウォールとしての機能は、人気のあるオープンソースのファイアウォールModSecurityによく似て... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
