skipfish web application security scannerCode Archive Skip to content Google About Google Privacy Terms
マッチするはずの正規表現がマッチしない現象 - T.Teradaの日記
今日は、PHPでよく使用される正規表現エンジンであるPCRE(Perl Compatible Regular Expression)の、余り知られていない(と思う)制約について書きます。 プログラム 題材は下のPHPプログラムです。 <?php header('Content-Type: text/html; charset=latin1'); $url = $_REQUEST['url']; if (preg_match('/^(.*?):/s', $url, $match)) { $scheme = $match[1]; if ($scheme !== 'http' && $scheme !== 'https') { exit; } } echo '<a href="'. htmlspecialchars($url). '">link</a>'; 外部から受け取った「url」パラメータ
Skipfishの使い方 (オプション) ~ PhoEniBiR~DevDiary
2011/06/16 Skipfishの使い方 (オプション) 15:26:00 Motoi Nishiu@ふぇにば No comments メールで送信 BlogThis! Twitter で共有する Facebook で共有する テスト項目一覧テスト項目に関しては、Landescape Graphicsのブログに記載してある。 Skinfish実行方法(オプション) 基本的な使い方$ ./skipfish -o [レポートの出力先ディレクトリ] http://sample.com/ ..... スキャンしたいサイトは複数列挙できる。その場合は半角スペースを開けて列挙する。 e.g. http://sample.com/の脆弱性をチェックしてレポートをvar/www/html/logに保存する場合 $ ./skipfish -o var/www/html/log http://s
Skipfishで定義されているWebアプリに対するテスト一覧 » LandEscape Graphics
バージョン Skipfish ver 1.19b skipfish Documentation SkipfishDoc 高リスクの欠陥(システムを危険にさらす可能性をもつもの) サーバサイドSQLインジェクション(隠れた経路、数値パラメタを含む) GETやPOSTパラメタ内のあからさまなSQL-like構文 サーバサイドシェルコマンドインジェクション(隠れた経路を含む) サーバサイドXML/XPath インジェクション(隠れた経路を含む) 書式化された文字列脆弱性 整数オーバーフロー脆弱性 HTTPのPUTメソッドによるロケーション変更受け入れ 中リスクの欠陥(データを危険にさらす可能性をもつもの) HTMLドキュメントボディ内でXSS経路を保持し表現するもの(minimal JS XSS support present) HTTPリダイレクトを通してXSS経路を保持し表現するもの HTT
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
