もう10年以上前のネタなのですが、いまだに有効だし、最近、セッションを扱っていないならXSSがあってもあまり問題ないという意見を見ることがあるので、サービス提供側として案外面倒なことになる場合がある、という話を書きました。POCです。http://www.udp.j... 続きを読む

• ultraist.hatenablog.com
• テクノロジー

17:46 | Web開発者のためのサードパーティCookieやらトラッキングやらの問題点について三回ぐらいに分けて書きます。この文章は個人的に書いていますので、おい、お前のところのサービスがサードパーティCookieに依存してるじゃねーかというツッコミがあるかも... 続きを読む

• d:id:mala
• テクノロジー

Google has developed a bad habit with respect to patching vulnerabilities in the integrated version of Adobe Flash in their Chrome for Windows browser: They release and announce the updates before Adobe does. They have done it several times i... 続きを読む

• securitywatch.pcmag.com
• テクノロジー

“Why doesn’t 1Password offer two factor authentication?” That is a question we face regularly, and one we often ask of ourselves. Ultimately, the question boils down to two kinds of data security risk: threats to confidentiality versus thr... 続きを読む

• blog.agilebits.com
• テクノロジー

Python, Event, Translation はじめにみなさん、本日はクリスマスですね。Python Webフレームワークアドベントカレンダー2010最終日ですね。最終日はスペシャルゲストということで、pocooの中心メンバである@mitsuhikoが寄稿してくださいました。pocooはWerkzeu... 続きを読む

• ymotongpoo.hatenablog.com
• テクノロジー

動的なウェブサイトを作るときには、クロスサイトスクリプティング (Cross Site Scripting、XSS) の脆弱性をなくすことを意識しますが、Twitter や mix でもセキュリティの欠陥はあるので、初心者には難しいと思います。（両方とも、はまちちゃん がアレしたｗ... 続きを読む

• www.authority-site.com
• テクノロジー

前回のエントリ “携帯サイト開発者のためのセキュリティ再入門” が割と広範囲にお読みいただけているようです。ありがとうございます。ただあの記事は単に列挙しただけなので「何をまずやればいいのか」具体的なものが見えてこない気がしますのでメモとして再... 続きを読む

• d.1555.info
• テクノロジー

トークンの確認があるべき いわゆるCSRF対策。 サービスにログインした状態のユーザーを退会フォームにPOSTするような罠を仕込んだページに誘導するだけで退会出来てしまうから 退会ページでJavaScriptでconfirm出して「本当によろしいですか？」とか確認しても... 続きを読む

• g:subtech:id:mala
• テクノロジー

何故かあたり前にならない文字エンコーディングバリデーションってあるように、いまいち文字コードの不正な判定による危険性ってのが分かってない。SJISの問題は、第5回■注目される文字コードのセキュリティ問題 - SQLインジェクションを根絶！セキュア開発の... 続きを読む

• d:id:tohokuaiki
• テクノロジー

PHPは広く数多のWebサーバでインストールされ、使われている。設定ファイルは殆どそのままで使われていることが多いのではないだろうか。だが4.2より前のバージョンではregister_globalsのデフォルトがOnになっていたなど、利便性とセキュアであることとの関係... 続きを読む

• www.moongift.jp
• テクノロジー

» Block brute force attacks with iptablesSince 2005 there has been an immense increase in brute force SSH attacks and though Linux is pretty secure by default, it does not stop evil programs from indefinitely trying to login with different pa... 続きを読む

• kevin.vanzonneveld.net
• テクノロジー

第4回　［気になる］JSONPの守り方 はせがわようすけ ネットエージェント株式会社 2009/8/10 XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、その... 続きを読む

• www.atmarkit.co.jp
• テクノロジー

2009/07/27 OpenSSHのベスト・セキュリティ・プラクティス nixCraft に OpenSSH サーバのセキュリティ上のベストプラクティスが出ていたので、簡単にまとめてみる。 デフォルトのコンフィグファイルとSSHポート 説明前に前提となるコンフィグファイルの場所とSS... 続きを読む

• yebo-blog.blogspot.com
• テクノロジー

Recent Entries セキュアなサーバを作るために最低限やっておくこと Yahooキーワード抽出APIライブラリ テスト駆動開発 （test driven development: TDD） のすすめ GoogleAnalyticsAPI on EC-CUBE 土日で作るコンパイラ OPEN ERPに挑戦３ OPEN ERPに挑戦２ OPE... 続きを読む

• labs.s-cubism.com
• テクノロジー

このページは教養原論（数理の世界--「現象の数理」「数理解析と社会」）の授業用のページです。 このページの機能はJavaScriptが有効なブラウザーで利用できます。このページが動作しないときはブラウザーでJavaScriptを使うように設定して下さい。 セキュリテ... 続きを読む

• herb.h.kobe-u.ac.jp
• テクノロジー

Programming 　　　 ∧ ∧ 　　　(・∀ ・)　＜通信の暗号化ってなんだろ 　　　 　　　 　ノ(　　)ヽ 　　　 共通鍵暗号 - Wikipedia公開鍵暗号 - Wikipedia基礎知識　SSLの仕組み 　　　 ∧ ∧ 　　　ヽ(・∀ ・)ﾉ　＜ぜんぜんわかんねーよ。 　　　 　　　((... 続きを読む

• d:id:project_the_tower2
• 政治と経済

著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対... 続きを読む

• www.jumperz.net
• テクノロジー

ＲＳＡ暗号は、インターネットでも広く利用されている話題の暗号です。 この暗号をはじめとする現代の暗号は、 戦争中に一部組織でのみ使用されてきた暗号とは全く異なり、 情報セキュリティを確保する根幹技術として、 情報ネットワーク社会に生きる我々に大き... 続きを読む

• www.maitou.gr.jp
• 学び

パスワードをDBに保管するとき、プレーンテキストのままじゃダメってのはもういいよね。 (参考)ブログが続かないわけ | パスワードを平文で管理するのはダメだ で、そのときどうやってハッシュ化するかというお話。 まず、大前提として復号可能な暗号は避けた方... 続きを読む

• en.yummy.stripper.jp
• テクノロジー

スパイスラボ神部です。 ちょっとわけあって、PHP で複合化可能な暗号化を処理を組み込むことになりました。いったん暗号化して DB に格納し、あとで複合化するという手順です。 さすがに生でパスワードを格納するのは嫌ですし、調べてみると意外と全体の流れを... 続きを読む

• blog.spicebox.jp
• テクノロジー

まあIEですから。jsonのレスポンスでタグをエスケープしてないとIEでXSSできてしまうという話。 {test: ""} こんな感じのレスポンスを返すページをIEで読ませる。test.py #!/usr/bin/env python from wsgiref.simple_server import make_server def app(environ... 続きを読む

• d:id:nullpobug
• テクノロジー

自転車とGREEについて自転車はGIANTがオススメGREEは2006年11月に携帯にシフト、携帯からのアクセスがぐんぐん増加 携帯の諸々Referer来ないかもしれない。auとSoftbankはおおむね来る。来ないなら来ないで統一されていれば良いものを……Cookieは、au来ます、S... 続きを読む

• bakera.jp
• テクノロジー

What is it? PhpSecInfo provides an equivalent to the phpinfo() function that reports security information about the PHP environment, and offers suggestions for improvement. It is not a replacement for secure development techniques, and does n... 続きを読む

• phpsec.org
• テクノロジー

4. Declaration of %s::%s() should be compatible with that of %s::%s() 継承によりメソッドをオーバーライドする場合は、継承元と同じメソッド定義にする。 親クラスと引数の数が異なるとNG デフォルト値のあり・なしが異なるとNG（値は変わってもOK） Typeh... 続きを読む

• www.1x1.jp
• テクノロジー

<< Web::Scraper を利用して画像をたくさん手に入れるWeb::Collector なんてものを書いた | main | exciteではなく、翻訳もGoogle でやる3つの理由 >> ログイン処理なんてほとんどのWebアプリケーションに必要だから、プログラマであれば簡単に作れると思われる... 続きを読む

• en.yummy.stripper.jp
• テクノロジー

今日はプログラミングのお話。この Rauru Blog で使っている WordPress とゆう Blog プラットフォームについては私も3年前に使い始めてから愛憎半ばするものがあるわけですが、先週末は WordPress について「確かに WordPress には問題が多いのを否定できんのう... 続きを読む

• wordpress.rauru-block.org
• テクノロジー

2008/07/12 PHP: セッションにセキュリティ対策する PHPには標準でセッションの管理機能が組み込まれているので平易に使うことができるけれど、これがなかなか曲者。 そのまま使ってダメな理由はここが詳しくて、ざっくり書くと下記の通り。 そもそもセッション... 続きを読む

• bba-ltom.blogspot.com
• テクノロジー

WebサービスにアクセスするAIRアプリを作成していると、ユーザーの利便性を考慮してWebサービスのユーザー名とパスワードを保存しておきたいと思う時があります。そうした時のために、AIRにはEncryptedLocalStoreクラスが用意されています。このクラスはOS固有... 続きを読む

• d:id:kkanda
• テクノロジー

PHP/脆弱性リスト 「修正できない（されない）脆弱性」「修正されていない脆弱性」プログラムの脆弱性原因などを記載したページです。ベストプラクティス的な項目も含めています。これらの仕様自体が問題とは言えないまでもセキュリティ上の問題の原因(アタック... 続きを読む

• wiki.ohgaki.net
• テクノロジー

Mac OS X Security Configuration Guides The Security Configuration Guides provide an overview of features in Mac OS X that can be used to enhance security, known as hardening your computer. The guides are designed to give instructions and reco... 続きを読む

• www.apple.com
• テクノロジー

続きを読む

• snipplr.com

2008-04-02 シグネチャのために使われるハッシュにSHAが利用されたりします。 米国商務省国立標準技術研究所（ NIST ）の暗号アルゴリズムのSHA-1は、2010年までには、SHA-2にリプレイスされるようです。 PHPでsha1を計算する場合は、sha1()を使います。 sha512... 続きを読む

• paranoid.dip.jp
• テクノロジー

大垣靖男 連載の補講として，セキュリティ対策の基本をまとめて掲載します。 ※4月3日より順次公開です。 大垣靖男（おおがきやすお） University of Denver卒。同校にてコンピュータサイエンスとビジネスを学ぶ。株式会社シーエーシーを経て，エレクトロニック... 続きを読む

• gihyo.jp
• テクノロジー

Link: http://blog.ohgaki.net/index.php/yohgaki/2006/02/28/php_selfa_ma_a_ra_fa_fa_oa_a_sa_a_oa#c849PHP_SELFはそのまま出力できないに htmspecialchars($str, ENT_QUOTES); じゃなくて、 htmspecialchars($str); で終わらせてしまった場合の、 問題例が非... 続きを読む

• blog.ohgaki.net
• テクノロジー

Basics. SELECT * FROM login /* foobar */ SELECT * FROM login WHERE id = 1 or 1=1 SELECT * FROM login WHERE id = 1 or 1=1 AND user LIKE "%root%" Variations. SELECT * FROM login WHE/**/RE id = 1 o/**/r 1=1 SELECT * FROM login WHE/**/RE id = 1 o... 続きを読む

• www.justinshattuck.com
• テクノロジー

XSS (Cross Site Scripting) Cheat Sheet Esp: for filter evasion By RSnake Note from the author: XSS is Cross Site Scripting. If you don't know how XSS (Cross Site Scripting) works, this page probably won't help you. This page is for people who... 続きを読む

• ha.ckers.org
• テクノロジー

Link: http://wiki.ohgaki.net/index.php?PHP%2F%C0%C8%BC%E5%C0%AD%A5%EA%A5%B9%A5%C8%2FPHP5#content_1_19PHPにはHTMLの文字列として出力する関数が2種類あります。 - htmlspecialchars() <,>,&,',"等のHTML特殊文字をエンティティ化する - htmlentities() HT... 続きを読む

• blog.ohgaki.net
• テクノロジー

初心者はPHPで脆弱なウェブアプリをどんどん量産すべし ↑のブックマーク うん。増田くんはいつもいいこと書くね！ ブックマークの方には 危険だとか迷惑だとか踏み台だとか色々かいてあるけれど(というか踏み台ってなんだろ？) そんなに大切な個人情報をたくさ... 続きを読む

• d:id:Hamachiya2
• テクノロジー

続きを読む

• www.earn-web-cash.com

ヘッダー情報からサーバーで使用しているPHPバージョンを特定されてしまい、そのバージョンのセキュリティーホールを狙った攻撃を受けてしまう可能性があります。今回は、ヘッダー情報からPHP・Apacheのバージョンを特定させない方法を紹介します。 対策がされ... 続きを読む

• itpro.nikkeibp.co.jp
• テクノロジー

Copyright © 2005 PHP Security Consortium | Some Rights Reserved | Contact Information Hosting and bandwidth provided by Brain Bulb, The PHP Consultancy 続きを読む

• phpsec.org
• テクノロジー

先の日記(XSSはブラウザ上でスクリプトが動き、CSRFはサーバー上でスクリプトが動く - ockeghem(徳丸浩)の日記)は、仕込んだネタがあたって多くの方に読んでいただいた。細かい内容については、頂戴した批判や反省もあるが、このテーマに対して多くの関心を集め... 続きを読む

• d:id:ockeghem
• テクノロジー

昨日の日記で、DK祭りで使われている脆弱性がXSSかCSRFかという問題になった。どうも、XSSとCSRFがごっちゃになっている人もいるように見受けるので、簡単な整理を試みたい。XSSとCSRFには似た点がある。どちらも「クロスサイト」という言葉が先頭につくなりす... 続きを読む

• d:id:ockeghem
• テクノロジー

Use common PHP and other Script functions for free, like md5 or sha1Online-Functions: md5() - sha1() - crypt() - crc32() - str_rot13() base64_encode() - base64_decode() - urlencode() - urldecode() Here you can use some common PHP-Functions on... 続きを読む

• php-functions.com
• テクノロジー

Subscription Sign up for the free email newsletter for new tips, tutorials and more. Enter your email address below, and then click the button. Privacy Policy If you are developing a password-protected web site, you have to make a decision ab... 続きを読む

• www.webcheatsheet.com
• テクノロジー

このページについての説明・注意など PHP は、Apache モジュールや、CGI、コマンドラインとして使用できるスクリプト言語です。このページでは、主に PHP における、Web アプリケーションのセキュリティ問題についてまとめています。 Web アプリケーションのセ... 続きを読む

• www.asahi-net.or.jp:wv...
• テクノロジー

The requested blog was not found on this server -- unless you requested that of Dan Kogai (小飼 弾). パスワード無しの認証ファイルを作る $ ssh-keygen -d -f ~/.ssh/nopass-dsa -N '' または $ ssh-keygen -d -f ~/.ssh/nopass-dsa -N '' -C you@your.e... 続きを読む

• blog.livedoor.jp:dankogai
• テクノロジー

shimookaです。 皆さんはPHPでデータの暗号化・復号をする必要に迫られた場合、どのようにしているでしょうか？今回は、PHPで利用可能なモジュールやパッケージとそれらのサンプルを3つほど挙げてみました。 mcrypt拡張モジュールを使った暗号化 libmcryptを利... 続きを読む

• labs.unoh.net
• テクノロジー

« Keyboard polling class - bug fix | Radial Perlin Noise » PHP Password Security 10th October 2007 If you build websites that require users to register it’s your responsibility to keep their passwords safe. And if you’re storing the passwor... 続きを読む

• www.bigroom.co.uk
• テクノロジー

For AOL members on the Basic Dial-Up plan, we've partnered with a leading name in online security to help protect you, your family and your PC. Watch the Video See Which Plan You're On Virus protection that guards your whole PC Spyware protec... 続きを読む

• safety.aol.com
• テクノロジー