画像ファイルに PHP コードを埋め込む攻撃は既知の問題
(Last Updated On: 2015年9月10日)国内外のメディアで「画像ファイルに攻撃用のPHPコードが含まれていた」と比較的大きく取り上げられています。しかし、この攻撃手法は古くから知られていた方法です。条件は多少厳しくなりますがPerl, Ruby, Pythonでも同様の攻撃は考えられます。PHPの場合は言語仕様的に他の言語に比べ攻撃が容易です。 典型的な攻撃のシナリオは次の通りです。 追記:Tokenizerを使った例に修正しました。 アバダなどの画像ファイルをアップロードできるサイトを探す ローカルファイルインクルードバグを探す 画像ファイルにサイトが利用している言語のコードを埋め込む 攻撃コードを含んだファイルを画像ファイルとしてアップロードする ローカルファイルインクルードバグを利用して攻撃コードを実行する PHPの場合、リモートインクルードバグを攻撃するための攻撃
札幌市に見る地方IT企業が抱える課題とは
議論は、「ITアーキテクトとはなにか」、「ITアーキテクトはどう育成するか」、「地方都市におけるIT企業の役割とは」といった内容が取り上げられたが、それらは、裏返せば、地方都市のIT産業が直面している課題だといえる。 直面している課題のひとつが下請け体質からの脱却である。 IT産業の下請け構造は、いまに始まったものではない。ゼネコンさながらの下請け構造が古くから存在するのは周知の通りだ。 だが、下請け構造の下層に位置するIT企業が、地方にはあまりにも多すぎる。そのため、収益を確保できず、新たな投資ができない、結果として、優秀な人材が都市部に流出するという悪循環に陥っている。 また、投資ができないために十分な検証のための施設が確保できず、品質面での問題や、競争力が低い製品を投入せざるを得ないという問題も発生しているという。 パネルディカッションのなかで触れられたのは、その一因として、高度な能
MOONGIFT: » 驚愕…JavaScriptでDB操作を行うRails向けライブラリ「Jester」:オープンソースを毎日紹介
Railsは使っている内に、もはやRails以外でプログラムをしたくなくなる位の魅力がある。MVCの仕組みといい、O/Rマッピングといい、Migrationといい…そこかしこに魅力が溢れている。 そんなRailsがさらに魅力的になるライブラリがこれだ。Rubyの壁をこえ、JavaScript上でDB操作が可能になる。 今回紹介するオープンソース・ソフトウェアはJester、RESTによるDB操作を行うJavaScriptライブラリだ。 単純に言うと、JesterはXMLベースでWebサーバにリクエストを行う。その結果をXMLベースで受け取り、JavaScriptのクラスにしてくれる。操作はRESTで行われ、データ取得系はGET、作成処理はPOST、更新処理がPUT、削除処理がDELETEとなっている。 操作だけを考えると、Railsに限ったものではない。他の言語でもインタフェースを用意すれ
KLab勉強会#2の資料を公開します : DSAS開発者の部屋
6/22に開催した、第2回KLab勉強会の資料と音声を公開します。 『DSASのあそこ - ストレージサーバ編』 〜 ひろせまさあき (KLab株式会社) 発表資料 (PDF, 1,333 KB) 音声 (MP3, 17,593 KB) 『VIVERのいろいろ』 〜 古橋 貞之 (筑波大学) 発表資料 (PDF, 6,784 KB) ぐりぐり動く対話的プレゼンテーション - 通常版 (QuickTime, 5,146 KB) ぐりぐり動く対話的プレゼンテーション - 高解像度版 (QuickTime, 24,420 KB) 音声 (MP3, 11,411 KB) たくさんの方にお越しいただきありがとうございました。 おかげさまで、懇親会も含め盛況のうちに終わり、とても楽しい時間を過ごすことができました。 さてさて、ちょっと気が早いですが、第3回も開催したいと思っています。 勉強会の内容や参
普通のやつらの下を行け: BFDでデバッグ情報の取得 - bkブログ
普通のやつらの下を行け: BFDでデバッグ情報の取得 gcc に -g オプションを与えるとデバッグ情報をバイナリに埋め込むことができます。この情報は通常 gdb などのデバッガによって利用されますが、普通のプログラムでも利用できれば何かおもしろいことができるかもしれません。 普通のやつらの下を行けの第4回として、今回は BFD (libbfd) を用いてデバッグ情報を取得する方法を取り上げたいと思います。 BFD とは BFD (Binary File Descriptor library) は各種バイナリフォーマットに対して低レベルな操作を行うためのライブラリです。 GNU binutils に含まれています。Debian GNU/Linux なら次のコマンドでインストールできます。 % sudo apt-get install binutils-dev ここでは BFD の bfd_
やねうらお―よっちゃんイカを買いに行ったついでに保険料を支払う男 - ヘッドハンティングについてあなたが注意すべきたった一つのこと
ときどき、あなたをヘッドハンティングしたいと言う電話が会社に掛かってこないだろうか? あの電話は一体、何なのだろうか? 以下、種明かし。 企業によっては人事部自体をアウトソーシングすることがある。求人を出して人選するだけでもそれなりにノウハウというものがあって、(設立後の)日の浅い会社がやるには難しいからである。 このアウトソーシングをされる側に立って考えてみよう。お金をもらっている以上、誰か人を連れてこないといけない。(人を連れてきた)実績を出さないわけには契約を打ち切られてしまうからである。もちろん、テキトーに人を選ぶわけにもいかない。テキトーに選んでしまうと、連れてきた人がそのあと会社で成果を出せず、その結果、人事の責任にされかねない。しかし、まずは、連れてくるところからである。 そこで、どうやって連れてくるかと言うと何らかの名簿を頼りに連れてくるのだが、せめて同じ業界で実績を出して
情報開示の報告(Joho流に):Lessig Blog (JP) - CNET Japan
定期契約のクライアントはいない。多くの非営利団体の理事を務めている。 EFF、FSF、PLOS、FreePress、PublicKnowledge、そしてCreative Commonsなど。 営利組織の役員には就いていない。理事や顧問を務める対価としてストックオプションを受けとることはない。 そう発言するように金を貰ったことではなく、自分の信じるところを口にできる職業に就いているのは得がたい特権だ。この自由はかつて専門職にとっては一般的な規範だった。現在ではますますそうではなくなりつつある。法律家はかつて、信じるところを口にできる職業倫理を持っていた。いまや「ビジネス上の衝突」という概念、つまり顧客や潜在的顧客の商業的利害との衝突が多くの法律家を沈黙させている。医師もまた、特定の医療方法について発言することのできない地位に雇われている(たとえば、Rust v. Sullivanを参照)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
glad design blog | 「あやしい」便利サイト集
はてな