[mixi] ネットワーク&セキュリティ | はてなでやってるXSS対策と同様のXSS対策をしたい
こんにちは。 VPSのレンタルサーバで、RHEL、PHP5、Apache2でサイトをこれからつくる予定です。 まずはセキュリティ的な部分を、片付けようと思い、 そこで、まずは、XSS対策をしようと思いました。 で、PHP と Web アプリケーションのセキュリティについてのメモ http://www.asahi-net.or.jp/~wv7y-kmr/memo/php_security.html を見まして<ユーザが HTML タグやスタイルシートを記述できるようにしたい場合のクロスサイトスクリプティング対策としては、「はてなダイアリーXSS対策が」参考になります> とあったので、 「はてなダイアリーXSS対策」 http://hatenadiary.g.hatena.ne.jp/keyword/%E3%81%AF%E3%81%A6%E3%81%AA%E3%83%80%E3%82%A4%E
PHP以外では: 既にあたり前になりつつある文字エンコーディングバリデーション - 徳丸浩の日記(2009-09-14)
_既にあたり前になりつつある文字エンコーディングバリデーション 大垣靖男さんの日記「何故かあたり前にならない文字エンコーディングバリデーション」に端を発して、入力データなどの文字エンコーディングの妥当性チェックをどう行うかが議論になっています。チェック自体が必要であることは皆さん同意のようですが、 チェック担当はアプリケーションか、基盤ソフト(言語、フレームワークなど)か 入力・処理・出力のどこでチェックするのか という点で、さまざまな意見が寄せられています。大垣さん自身は、アプリケーションが入力時点でチェックすべきと主張されています。これに対して、いや基盤ソフトでチェックすべきだとか、文字列を「使うとき」にチェックすべきだという意見が出ています。 たとえば、id:ikepyonの日記「[セキュリティ]何故かあたり前にならない文字エンコーディングバリデーション」では、このチェックは基盤ソフ
CakePHP - Build fast, grow solid | PHPフレームワーク
New CakePHP 5.0 Chiffon. Faster. Simple. Delicious. What's new in version The migration guide has a complete list of what's new in. We recommend you give that page a read when upgrading. A few highlights from 5.0 are: PHP 8.1 required. Improved typehints across the framework. CakePHP now leverages union types to formalize the types of many parameters across the framework. Upgraded to PHPUnit 10.x
HTML Purifier 3系最終バージョン登場、XSSフィルタ・HTML標準化 | エンタープライズ | マイコミジャーナル
HTML Purifier ? Standards-Compliat HTML Filtering 16日(米国時間)、HTML Purifierの最新版となるHTML Purifier 3.3.0が公開された。HTML PurifierはPHPで開発されたHTMLフィルタライブラリ。HTMLをより標準規約に準拠したものへ変換する手助けをするほか、XSSとして知られている危険性のあるコードの削除などを実施できる。プラグインも提供されておりWordpressやDrupal、Joomla、Symfonyなど著名なCMSで利用できる。 HTML Purifier 3.3.0ではオーバーフローCSSプロパティのサポートが追加されたほか、特定のFirefoxバージョンで発生していたYouTubeレンダリング問題の修正、CSSDefinitionプリンタ関連の修正、iconv関連バグの修正、そのほかい
「なぜPHPアプリにセキュリティホールが多いのか?」のセキュリティホール - ockeghem's blog
大垣靖男さんの連載から 第21回 文字エンコーディングとセキュリティ(3):なぜPHPアプリにセキュリティホールが多いのか?|gihyo.jp … 技術評論社 一見この動作は無害のように思えるかもしれませんが,ブラウザなど,“\”がエスケープ文字になっているシステムでは重大な問題となります。 <div height="<?php echo addslashes($height); ?>" width="<?php echo addslashes($width); ?>"> この記事が公開された当初,上記のechoが抜けていた。しかし,echoがないと,プログラムの正常系としても動作しない。どこかから,突っ込みが入ったのであろう,その後echoが追加された。 しかし,まだ根本的におかしい。 なぜなら,以下の部分が間違っているからだ。 ブラウザなど,“\”がエスケープ文字になっているシステム
2008-04-02
id:i_ogiの人格に魅せられた人々が集まる焼肉パーティーに参加してきました。 たん清の肉はうまいっ!今度会社の人連れてこようとまた来よう。 そして、自分の部の飲み会=たん清という公式を作りたい! twitterで募集かけただけにも関わらず最終的には16人(くらい?)の大所帯でした。 フレームワークの話やクロージャの話などいろいろ参考になるお話が聞けたので良かったです。 しかしクロージャは他人に説明できるほど自分も完全に理解できていない・・・。 今度の社内勉強会のネタにして調べてみようと思った。 >id:i_ogi 幹事お疲れ様でした! >参加されたみなさん あまりお話できなかった人もいますが、お疲れ様でした! 社内のツールでWordPress2.5に対してセキュリティ診断かけたら、 1件Criticalが見つかるという始末。。 ちなみにWordPressはインストールしてすぐのデフォル
PHP と Web アプリケーションのセキュリティについてのメモ
このページについての説明・注意など PHP は、Apache モジュールや、CGI、コマンドラインとして使用できるスクリプト言語です。このページでは、主に PHP における、Web アプリケーションのセキュリティ問題についてまとめています。 Web アプリケーションのセキュリティ問題としては、以下の問題についてよく取り挙げられていると思いますが、これらのセキュリティ問題について調べたことや、これら以外でも、PHP に関連しているセキュリティ問題について知っていることについてメモしておきます。 クロスサイトスクリプティング SQL インジェクション パス・トラバーサル(ディレクトリ・トラバーサル) セッションハイジャック コマンドインジェクション また、PHP マニュアル : セキュリティや、PHP Security Guide (PHP Security Consortium) には、PH
第10回 スクリプトインジェクションが無くならない10の理由 | gihyo.jp
SQLインジェクション対策は非常に簡単です。しかしブラウザに対する「スクリプトインジェクション」はなかなか無くなりません。スクリプトインジェクションが無くならない10の理由をあげてみます。 複雑な攻撃経路と対策 前回紹介したように、ブラウザに対するスクリプトインジェクション攻撃の経路は3種類あります。エスケープ方法も数種類あります。すべての出力を完全にエスケープできればセキュリティ維持も容易になりますが、タグや属性を出力したい場合もあるため、必ずしもすべての出力をエスケープできるわけではありません。さらに攻撃手法にも、サイトをまたがった攻撃、直接攻撃、間接攻撃などパターンがあります。エスケープできないデータへの不正なスクリプトの挿入を防ぐには、データの起源までさかのぼり安全性を確保しなければなりません。ブラウザに対するスクリプトインジェクション対策はデータベースサーバへのSQLインジェクシ
第8回 クロスサイトスクリプティング対策の落とし穴 | gihyo.jp
今回は熟練したWebアプリ開発者なら常識のクロスサイトスクリプティング対策の落とし穴を紹介します。 JavaScriptを排除しているつもりで排除に失敗?! 最近はSanitize(サニタイズ)という言葉の代わりにValidation(検証)という言葉をよく聞くようになったと思います。Sanitizeの意味を辞書で調べると「汚れている物をきれいにすること」とされています。この意味の通り汚れた変数をきれいにして使えば安全に利用できるとする考え方に基づくのがサニタイズ手法です。典型的な例は、「テキストを出力する前に"<"と">"を取り除く」方法があります。 例1 "<"と">"をereg_replaceで取り除く $safe_text = ereg_replace($_GET['text'], '[<>]', ''); この$safe_textを <a href="/script.php?t
PHPアプリケーションWAFα版(仮称) - cybertのセキュリティ日記
特徴 PHPで作ったWAFのような動作をするスクリプトです。 ユーザから送られてくる次のパラメータに対して、浄化処理を行い下記の攻撃や問題を防ぎます。 Cross site scripting NULL Byte Attack CRLF Injection もしくは(HTTP Response Splitting) Buffer over flow マルチバイト問題 Directory traversal PHPの設定ミス(この機能は作り途中でごく一部のみ) 機能 PHPでWebアプリ作るときに、セキュリティ対策を行うのは面倒です。そんな訳で、ユーザから送られてくる殆ど全てのパラメータに対して、勝手に且つ強引に浄化処理を行い攻撃や問題を防ぎます。基本的には、脆弱に成り得る文字を取り除いたり、無害化したりといった処理を行います。対象となるのは、GETパラメータ($_GET)、POSTパラメー
T.Teradaの日記 - [セキュリティ][PHP]htmlspecialcharsと不正な文字の話
PHPでは、HTMLエスケープ用の関数としてhtmlspecialcharsが用意されています。 今日の日記では、htmlspecialcharsについて書きます。これと近い働きをするhtmlentitiesについても触れます。 htmlspecialcharsの基本 こんな感じで使います。 <?php echo htmlspecialchars($string, ENT_QUOTES, "UTF-8"); ?> 関数の引数は3つあります。 引数省略概要 第一引数不可エスケープ対象の文字列 第二引数可クォート文字の扱い(後述) 第三引数可文字コード(後述) 第二引数は、以下の3つの値のいずれかを指定可能です。 値エスケープ対象文字 ENT_NOQUOTES< > & ENT_COMPAT< > & " ENT_QUOTES< > & " ' 第二引数を指定しない場合のデフォルトは、ENT_
![T.Teradaの日記 - [セキュリティ][PHP]htmlspecialcharsと不正な文字の話](https://cdn-ak-scissors.b.st-hatena.com/image/square/c91c8eeda1375f58b5db5dfd5bc3be22f6a9a79f/height=288;version=1;width=512/https%3A%2F%2Fogimage.blog.st-hatena.com%2F10257846132711010800%2F10257846132711095435%2F1548045647)
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
