ボヤキ:猿真似は危険『「Ajax PHP」でRSSリーダーを作る』で破滅 - livedoor Blog(ブログ)
これは愚行録です。 サイトを閉鎖したため、こちらへ転記します。(by 破滅した管理人) 3月8日付けのエントリー『「Ajax + PHP」でRSSリーダーを作る』 「RSSリーダーを作ってみたい」という思いつきで始めた今回の一件。 さて「RSSリーダー」ってどうやって作るんだろうか。 とネット検索してみると初心者向けの分かりやすいページが見つかった。 Ajaxを使おう RSSリーダーを作る 掲載されているソースの改造に取り掛かるが、すぐに壁にぶち当たる。 「summary」の表示が上手くいかない。 「<summary>」なら良いのだが「<summary type="text/plain">」だと「[object Object]」が表示されてしまう。 なんだろうね、これって。 summary = xml.feed.entry[i].summary.type なら「text/plain」が表示
PHPのSession Fixation問題
(Last Updated On: 2006年10月24日)PHPのセッション管理はセッションの固定化(Session Fixation)に脆弱であることは広く知れらていると思っていました。先日、php-users(ja)のMLに「Hardened PHPプロジェクトのStefanさんのパッチにSQLite Sessionモジュール用のセッションセーブハンドラパッチを追加したパッチを公開しました」と投稿しました。しかし、ダウンロード数等から推測するとセッションの固定化のリスクが正しく認識されていないのではないかと思えます。 セッション固定化のリスクを分かりやすく説明するには具体的な攻撃のシナリオを紹介した方がわかり易いのでいくつか説明します。以下の説明はデフォルト状態のPHPインストールでSession Fixation対策を行っていないのPHPアプリケーションに対して可能な攻撃の一例です
@IT:Webアプリケーション: 第3回 気を付けたい貧弱なセッション管理
※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 「第2回 顧客データがすべて盗まれる」は、クロスサイトスクリプティング(XSS)と同様に実際のプログラミングを行うプログラマの責任であるという対策で、最も危険と思われるSQL InjectionとOS Command Injectionについて紹介した。今回は、プログラミング以前の設計段階で潜り込むセキュリティホール――見落としがちなセッション管理の脆弱性について説明していく。 We
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
