PHPのJSON HashDosに関する注意喚起
4年前にHashDos(Hash Collision Attack)に関する効率的な攻撃方法が28C3にて公開され、PHPを含む主要言語がこの攻撃の影響を受けるため対策を実施しました。しかし、PHP以外の言語が、ハッシュが衝突するデータを予測困難にする対策をとったのに対して、PHPは、GET/POST/COOKIE等の入力データの個数を制限するという対症療法を実施したため、PHPにはHashDosに対する攻撃経路がまだ残っているということは、一部の技術者には知られていました。例えば、以下の様なつぶやきにも見ることができます。 だって、 hashdos 脆弱性の時、 Python とかの言語が、外部入力をハッシュに入れるときに衝突を狙えないように対策したのに、phpだけPOST処理で対策したからね? json を受け取るような口もってるphpアプリのほとんどがhashdos残ってるんじゃない
HASHコンサルティング株式会社のメールマガジンを創刊します
HASHコンサルティング株式会社では、このたび無償メールマガジン(以降、メルマガと表記)を創刊することに致しました。セキュリティや弊社代表徳丸浩に関する記事を、ほぼ毎月(努力目標)お届けいたします。 第1回の発行(送信)は四月末頃を予定しています。 購読希望の方は、下記から申し込みをお願いいたします。 メールマガジン申し込みページ ■発行内容 予定しているコンテンツは下記となります。毎号すべてのジャンルが含まれる訳ではありません。コンテンツの内容は予告なく変更する場合があります。 ◎徳丸の動静 徳丸の講演予定などをお知らせします。この情報は他のメディア(ブログやtwitter)でも発信します。 ◎セキュリティ解説コラム 徳丸浩の日記に書いているような解説記事です。 ◎脆弱性情報の解説 Japan Vulnerability Notes(JVN)等に公表された脆弱性から、徳丸の気になったもの
ホスト型の廉価版WAFであるSiteGuard Liteを評価した
SiteGuard Liteはシグネチャ検査に特化することで価格を下げた廉価版と言うことになります。 インストール SiteGuard Liteは商用製品ですのでバイナリでの提供となります。Red Hat Enterprise Linux 4/5/6あるいはCentOS 4/5/6が動作可能ディストリビューションとなっています。筆者としてはUbuntu上でも動作確認してもらえるとありがたいと思いましたので、JP-Secure社にはそう要望しています。 rpmによるインストールは基本的には以下の3コマンドです。 # rpm -Uvh siteguardlite-1.00-beta.i386.rpm # cd /opt/jp-secure/siteguardlite/ # ./setup.sh 最後のsetup.shはApacheの各種パスなどを指定するものです。その他、SE Linux用のポ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
