WP-CLI で WordPress 本体の改ざんをチェックする | Firegoby
WP-CLI を使用すると以下のコマンドで、WordPress 本体のファイルが改ざんされていないかをチェックすることができます。 $ wp core verify-checksums ためしに WordPress の wp-settings.php を適当に書き換えてこのコマンドを実行してみると以下のようにファイルが書き換えられていることが検出できると思います。 $ wp core verify-checksums Warning: File doesn't verify against checksum: wp-settings.php Error: WordPress install doesn't verify against checksums. で、このコマンドにはコツというか正しい付き合い方があります。 もし、みなさんがなんらかの違和感を感じて、このコマンドを実行したいシチュ
ぼくがPDOを採用しなかったわけ(Shift_JISによるSQLインジェクション)
補足 この記事は旧徳丸浩の日記からの転載です。元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2。 備忘のため転載いたしますが、この記事は2010年7月1日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり PHPのデータベース・アクセス・ライブラリPDOは、DB接続時の文字エンコーディング指定ができないため、文字エンコーディングの選択によっては、プレースホルダを使っていてもSQLインジェクション脆弱性が発生します。 追記(2011/06/19) ここに来て急にブクマが追加されはじめていますが、このエントリを書いてから状況が改善しています。PHP5.3.6(2011/03/17)にて、PDOでもデータベース接続の文字エンコーディングを指定できるようになりました。この版で、UNIX版のPHPでは解決しましたが、Win
[PHPウォッチ]第30回 相次ぐ脆弱性修正リリースとセキュリティ強化PHP「Suhosin」
前回のPHPウオッチ公開以降,セキュリティ関連の修正が行われたPHPのリリースが相次いで行われた。この修正点について紹介するとともに,PHPのセキュリティ機能を強化するHardened PHP Projectから新たに公開された「Suhosin」,Zend Frameworkの最新情報を中心に紹介する。 PHPリリース関連情報 PHP 4.4.4,PHP 5.1.5緊急リリース:セキュリティ関連の脆弱性を修正 PHP 4およびPHP 5において,64ビットシステムにおけるメモリー管理上のバグなど複数のセキュリティ上の問題がみつかり,PHP 4.4.4およびPHP 5.1.5が8月17日に急遽リリースされた。主な修正点を以下に示す。 1.error_log(),file_exists(),imap_open(),imap_reopen()関数においてセキュリティ関連の制約(safe_mode
![[PHPウォッチ]第30回 相次ぐ脆弱性修正リリースとセキュリティ強化PHP「Suhosin」](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)
TiPS!::suPHPの設定とインストール
//概要 CGIWrapではperlCGIによるラッパー機能を提供してきた。 しかし、このラッパーではPHP容易にセキュア化したり、バーチャルホストごとの設定が困難である。 そこで、今回はsuPHPを用いてこの問題に対処する。 //suPHPとは suPHPとは、mod_cgiwrapの後継となるもので、元々はcgiwrapのモジュール版であった。 cgiwrapをモジュール化することにより、より高速にCGIを動かす工夫がなされた。 これを発展させたのがsuPHPであり、その名のとおりPHPに対応したラッパーである。 本来の機能として、PHPを自UID/GIDで実行できる他、通常のCGIも自UID/GIDで実行することが可能だ。 さらに、mod_vhost_aliasに対応しているため、容易にバーチャルホスト毎に別UID/GIDで動作することができるのである。 //動作
suPHP - Home
suPHP is not maintained any longer and will not receive any further updates not even security patches. If you want to continue using suPHP, feel free to create a fork (the complete code is licensed under the GPL version 2). If you are looking for an alternative, have a look at php-fpm. There also is a fork of suPHP maintained by John Lightsey on GitHub. You can download version 0.7.2 of suPHP. sup
suPHPドキュメント - MasaGonのアイデアフロー
suEXECのphp版ともいうべき、suPHP。日本語のドキュメントが見つからなかったので、和訳してみた。自己責任でどうぞ。 suPHP - Home ただし、CentOS 4では、Fedora Core 6用のrpmパッケージが使えるようなので、これを使いました。 [root@server ~]# wget http://ftp.riken.jp/Linux/fedora/extras/6/SRPMS/mod_suphp-0.6.2-1.fc6.src.rpm [root@server ~]# rpmbuild --rebuild mod_suphp-0.6.2-1.fc6.src.rpm [root@server ~]# rpm -ivh /usr/src/redhat/RPMS/x86_64/mod_suphp-0.6.2-1.x86_64.rpm これで、下記の設定ファイルができる
KCAPTCHA project - CAPTCHA.ru
KCAPTCHA is a free and open source PHP solution to generate human validation images (CAPTCHA). KCAPTCHA is meant to be a very strong protected one but requires no special hosting features, only PHP with GD library. Example (generates on fly, so refresh this page to see another variants): How it works: script creates session and writes to it with name $_SESSION['captcha_keystring'] randomly generat
PHP/脆弱性リスト/メモ - yohgaki's wiki
なんだかやけに長い説明ばかり検索に引っかかったので書きました。 Linuxのローカル環境でDockerコンテナ内のXアプリ(GUIアプリ)を利用するには $ xhost localhost + を実行した後に $ docker run --rm --net host -e "DISPLAY" container_image_name x_app_binary_path とすれば良いです。 もっと読む SSHなどよく知られたサービスポートで何も対策せずにいると数えきらないくらいの攻撃リクエストが来ます。不必要なログを増やしてリソースを無駄にし、もし不用意なユーザーやシステムがあると攻撃に成功する場合もあります。 SshguardはC作られており、flex/bisonのパーサールールを足せば拡張できますがカスタム版をメンテナンスするのも面倒です。必要なルールを足してプルリクエストを送ってもマー
PHP と Web アプリケーションのセキュリティについてのメモ
このページについての説明・注意など PHP は、Apache モジュールや、CGI、コマンドラインとして使用できるスクリプト言語です。このページでは、主に PHP における、Web アプリケーションのセキュリティ問題についてまとめています。 Web アプリケーションのセキュリティ問題としては、以下の問題についてよく取り挙げられていると思いますが、これらのセキュリティ問題について調べたことや、これら以外でも、PHP に関連しているセキュリティ問題について知っていることについてメモしておきます。 クロスサイトスクリプティング SQL インジェクション パス・トラバーサル(ディレクトリ・トラバーサル) セッションハイジャック コマンドインジェクション また、PHP マニュアル : セキュリティや、PHP Security Guide (PHP Security Consortium) には、PH
PHPのセキュリティを確保する | OSDN Magazine
PHPは世界中の数百万台のサーバ上で動的なWebサイトの作成に使用されている人気の高いスクリプト言語である。サーバで動的ページを生成することは、ユーザにサーバ上のコマンドやファイルやネットワーク接続へのアクセスを与えることを意味し、潜在的に多数のセキュリティリスクを生じる可能性を伴う。そのようなリスクはサーバの設定を適切に行うことで大幅に低減できるが、プログラマは作成するスクリプトについても責任を持ってそのセキュリティの万全を期すべきだ。 Apacheのインストールについては以前の記事で取り上げた。今回の記事では、そのApacheのセットアップにPHPを加えるために必要な追加的手順を説明し、続いて、PHPをサーバ上で安全に実行する方法について論じる。 インストール方法の選択 PHPのインストールでは、サーバ上のCGIインタプリタとしてインストールする方法と、Apacheモジュールとしてイン
PHPがいかに駄目な言語か、という話。 - Matzにっき(2008-01-26)
<< 2008/01/ 1 1. 年賀状 2. ゴビウス 3. [Ruby] ZSFA -- Rails Is A Ghetto 2 1. 新年会 3 4 1. The Mythical 5% 5 6 7 8 1. [言語] Substroke Design Dump 2. [言語] A programming language cannot be better without being unintuitive 3. [OSS] McAfee throws some FUD at the GPL - The INQUIRER 9 1. [言語] Well, I'm Back: String Theory 2. [言語] StringRepresentations - The Larceny Project - Trac 10 1. [Ruby] マルチVMでRubyを並列化、サンと東大が
PHP最新版にバッファオーバーフローの脆弱性:phpspot開発日誌
最新のセキュリティ情報を提供する 【Secureinfo.jp】: PHP "wordwrap()" 関数にバッファオーバーフローの脆弱性 PHP "wordwrap()" に符号誤りエラーが存在します。関数に非常に大きなパスワード文字列を送ることにより heap-based バッファオーバーフローを起こすことが可能です。5.1.2 と 4.4.2 で確認されました。他のバージョンにも影響があるかもしれません。 wordwrap関数にバッファオーバーフローの脆弱性があるそうです。 バージョンアップによる根本解決がなされるまで、wordwrap関数を使用しない、そしてオープンソースのプログラムを利用している人はこの部分をgrep検索して、外部から来たパラメータがwordwrap関数にわたっていないか等をチェックした方がよいですね。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Rauru Blog » Blog Archive » WordPress のコードとしての問題
SuPHP On Fedora 7 Or CentOS 5 With ISPConfig
連載:なぜPHPアプリにセキュリティホールが多いのか?|gihyo.jp