PHP と Web アプリケーションのセキュリティについてのメモ
このページについての説明・注意など PHP は、Apache モジュールや、CGI、コマンドラインとして使用できるスクリプト言語です。このページでは、主に PHP における、Web アプリケーションのセキュリティ問題についてまとめています。 Web アプリケーションのセキュリティ問題としては、以下の問題についてよく取り挙げられていると思いますが、これらのセキュリティ問題について調べたことや、これら以外でも、PHP に関連しているセキュリティ問題について知っていることについてメモしておきます。 クロスサイトスクリプティング SQL インジェクション パス・トラバーサル(ディレクトリ・トラバーサル) セッションハイジャック コマンドインジェクション また、PHP マニュアル : セキュリティや、PHP Security Guide (PHP Security Consortium) には、PH
悪のプログラマ―――もっと冴えたやりかた
「悪のプログラマ」[参照]で、優れたプログラマが本気で犯罪に手を染めるなら、痕すら残さないゾと書いた。さらに、デバッグとしてのソースレビューだけでなく、犯罪防止のためにコード検閲が必要だとも言った。 ところが、この容疑者はそれほど優れたプログラマではなかったようだ。以下、「NTTデータ元社員が取引記録を不正利用しカード偽造の疑い」[参照]より引用。 NTTデータは、2005年10月と2006年2月に発生した偽造ローンカードによる不正キャッシング被害に関連して、同社から仙台銀行のATMでカードを利用した際の取引記録の一部が不正に持ち出されていた可能性があることを発表した。 容疑者の元社員は、システムの運用にあたっていた人物。彼のやりかたのどこがマズかったかを指摘し、「もっと」冴えたやりかたを提案してみる…が、それだけだと教唆になっちゃうので、防止策も。 媒体(ここでは紙)が噛んでいる 誘拐で
高木浩光@自宅の日記 - ASPとかJSPとかPHPとかERBとか、逆だったらよかったのに
■ プログラミング解説書籍の脆弱性をどうするか 印刷されて流通する書籍に脆弱性がある、つまり掲載されているサンプルコードにズバリ脆弱性があるとか、脆弱性を産みやすいコーディングスタイルを身につけさせている解説があり、それが脆弱なプログラマを生産し続ける根源になっている問題は、「なんとかしないといけないねえ」と以前から言われてきた。 ソフトウェア製品の脆弱性は、指摘があればパッチが提供されたり修正版に差し替えられたりするが、書籍の脆弱性はどうか。正誤表が差し込まれるとか、回収する措置がとられるかというと、それは望めそうにない。言論には言論で対抗すればよいということになるだろうか。 久しぶりにいくつかの書籍について調べてみた。先月園田さんの日記などで比較的評判良く紹介されていた2冊を読んだ。 山本勇, PHP実践のツボ セキュアプログラミング編, 九天社, 2004年6月 GIJOE, PHP
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
