画像ファイルに PHP コードを埋め込む攻撃は既知の問題
Last Updated on: 2015年9月10日国内外のメディアで「画像ファイルに攻撃用のPHPコードが含まれていた」と比較的大きく取り上げられています。しかし、この攻撃手法は古くから知られていた方法です。条件は多少厳しくなりますがPerl, Ruby, Pythonでも同様の攻撃は考えられます。PHPの場合は言語仕様的に他の言語に比べ攻撃が容易です。 典型的な攻撃のシナリオは次の通りです。 追記:Tokenizerを使った例に修正しました。 アバダなどの画像ファイルをアップロードできるサイトを探す ローカルファイルインクルードバグを探す 画像ファイルにサイトが利用している言語のコードを埋め込む 攻撃コードを含んだファイルを画像ファイルとしてアップロードする ローカルファイルインクルードバグを利用して攻撃コードを実行する PHPの場合、リモートインクルードバグを攻撃するための攻撃用コ
CakePHPで高速Webアプリ開発:第1回 CakePHPを使いたくなる5つの特徴|gihyo.jp … 技術評論社
CakePHPとは CakePHPはオープンソースで開発されたPHP用のフレームワークです。Ruby on Railsの影響を強く受けており、Webアプリケーションを高速に開発するための仕掛けが随所に盛り込まれています。 PHP開発者の方で、Railsで開発してみたいけどRubyの経験がないのでなかなか行動に移せない方などはとくにCakePHPを試してみてほしいと思います。Railsの考え方を肌で理解しつつ、PHPでWebアプリケーションを高速開発するための選択肢を手に入れることになるでしょう。 CakePHP 本家サイト(英語)(左図)。 フォーラム - CakePHP Users in Japan(右図) そのほか、CakePHP プログラマーズ リファレンスガイドも参考になる CakePHPを使いたくなる5つの特徴 まずは皆さんにCakePHPに興味を持っていただくため、フレーム
リッチUIでオンラインファイル管理 - AjaXplorer 2.0登場 | エンタープライズ | マイコミジャーナル
20日(米国時間)、AjaXplorerの最新版となる「AjaXplorer 2.0」が公開された。AjaXplorerはPHPで開発されたファイルブラウザ。Webサーバで管理されているファイルをWebブラウザから操作できるようにする。プロダクトはGNU LESSER GENERAL PUBLIC LICENSE Version 2.1のもと、オープンソースソフトウェアとして提供されている。 AjaXplorerでサポートしている操作は、ファイルのアップロード、ダウンロード、保存パスの変更、名前の変更など、基本的な操作から、オンラインでのファイル編集や画像のプレビュー、ブックマーク機能まで多岐に渡る。 2.0ではGUIが作り替えられているほか、InfoPanel、検索エンジン、ファイルをダウンロードせずに実施するMP3ファイルの演奏機能、画像ビューア機能の拡張、複数ファイルのアップロードモ
php_error / エラー出力関数たち - おぎろぐはてブロ
PHP Extensionで、使うPHP Coreのエラー出力関数について。いっぱいあって迷うのだけれど、整理。 種類と利用されてる数 5.1.4でext下のモジュールでの利用数は以下のとおり。 43 php_error 2328 php_error_docref 12 php_error_docref1 16 php_error_docref2 44 zend_error 4 php_verror それぞれの概要 出力先は、iniファイルで指定したerror_log、指定が無ければ、SAPI側のlog_messageになります。(sapi_module_structのsapi_error) php_error マクロで実体はzend_errorだけれど、zend_errorを直接使わずに、こっち使いましょう php_error_docref[012]* 関数内だと関数名や、ドキュメントへ
PHP Design Patterns | dikini.net
Submitted by Anonymous (not verified) on Wed, 2006-07-26 11:17. Hi, Yes there is a slew of php pattern libraries emerging. I like your attitude to smudging the edges of patterns, idioms, though I am not experienced enough to understand it. "Showing the shape of patterns" I like that (actually I need it). If I am researching how people use a particular pattern, then I will stop by your site. It s
HPとアシアル、Web作成用スクリプト言語「PHP」の市場開発で提携 | 経営 | マイコミジャーナル
日本ヒューレット・パッカード(以下HP)とアシアルは15日、Webページ作成用のスクリプト言語「PHP」の市場開発で提携すると発表した。従来からオープンソースに積極的に取り組んできたHPと、PHPの教育やコンサルティングを行ってきたアシアルが協力、市場開発からサービス構築まで幅広く事業を展開し、企業のPHP導入を支援する。 PHPは、動的なWebページを作る際に使用するスクリプト言語で、実行環境はオープンソースソフトウェアとして無償で取得することができる。HTMLファイル内に処理内容を記述したスクリプトを埋め込み、処理結果に応じて動的に文書を作成することが可能で、習得の容易さや各種データベースとの連携に優れていることから、近年急速に普及している。 HPとアシアルは今回の提携により、PHPの市場開発からサービス構築、サポートなど各段階で協力。これまで中小・中堅企業での利用が中心だったPHPを
GK8 Net - Best Gaming Design and Development in the World
We design and development any game with all your requirment and needs, with all our experiences and profesional team we can make all your imagination come true! Dont hesitate to contact us and discuss all your needs. GK8 Net will give the best design base on your imagination or even we can help you to find new idea to bring all your fantasy into a canvas that ready to develop as a new game. We alw
include_pathを探しにstat()を呼びまくるのを眺める - おぎろぐはてブロ
id:koyhogeさんのPHPのコードキャッシュがなぜ速いのか - Blog::koyhoge::Techから。(先日はありがとうございました m(__)m) 「PHPは内部でstat()を呼びまくっているので遅い」とのことですので、include_pathの後ろの方のディレクトリにあるスクリプトファイルを大量にrequireしていたりすると、それだけでコードキャッシュのメリットが出てくるのかもしれません。 PHPのコードキャッシュがなぜ速いのか - Blog::koyhoge::Tech どのレベルからキャッシュが利用されるのかは、ちょっと記憶が無いので、コードを読み直さないとダメなのですが、「stat()を呼びまくって遅い」のstat()が爆発的に呼ばれる動きを軽く説明?したいとおもいます。(早く寝なきゃと適当に書いてるので、説明になってない。。ーー;いかんせん、こういうのあまりやら
APCいろいろと、「stat()を呼びまくるのを眺める」の補足 (解決はできてない) - おぎろぐはてブロ
以前のエントリなのですが、バーコードリーダー萌えのkuせんせいから、そもそもstatって重いのか、と聞かれました。 そうなのですよ。確かに、statをいっぱい呼んでいることは分かるのですが、その処理が重いのかってのを知らないのです。PEARモジュールを普通に使うだけでも、statの数は軽く500を超えたりするので、「ちりも積もれば、」なんでしょうが、その「ちり」のコストがどれくらいなのか。 実際のところ、OSレベルでキャッシュかかったりもするので、自分は良くわからんのです。BSDとLinuxでも違いがあるかもしれないし。 realpathチェックを外して驚きの早さ30%アップ!な http://papelipe.no/tags/php/optimizing_php_for_intel_based_mac の記事では、FreeBSDが重いよと書いているようにも読み取れます。 いろいろ実験して
facebookでのAPCの設定 - おぎろぐはてブロ
php|tek 2007で発表された、facebookの中の人のAPCの設定についての話です。軽く中身を説明します。 apc@facebook (PDF) apc@facebook (PDF) 2007/09/21 追記 サイトの構成が変わって、スライドがデッドリンクになっていたため差し替えました。また、今月開催されたphp|works 2007での講演もアップされています。こちらのが読みやすくなっている部分があるので、こちらを参照したほうがいいかも。 apc@facebook (PDF) in phpworks2007 http://tekrat.com/talks 内容 LAMP構成で、そしてAPCを使ってます Facebookのprofile.phpの表示を例にあげると、ノーマルのPHPに比較して、FacebookのチューンしたAPC設定では秒間リクエスト数が12倍に! ちょ、、それ
The Pmarca Guide to Personal Productivity
More About Marc Marc Andreessen is a cofounder and general partner at the venture capital firm Andreessen Horowitz. He is an innovator and creator, one of the few to pioneer a software category used by more than a billion people and one of the few to establish multiple billion-dollar companies. Marc co-created the highly influential Mosaic internet browser and co-founded Netscape, which later sold
MOONGIFT: » JavaScriptでPHP「p2js」:オープンソースを毎日紹介
色々な言語を触っていると、ふとした時に「あの言語のあの関数便利なのに…」と思ってしまうことがある。特に関数が非常に豊富なPHPを触った後に気づくことが多い。 同じ関数が別な言語で実装できれば、便利なのは間違いない。そう考えて(恐らく)作られているのがこのソフトウェアだ。 今回紹介するオープンソース・ソフトウェアはp2js、PHPの関数をJavaScript上で実装するプロジェクトだ。 現時点でも配列関係の関数、is_**系関数、htmlspecialchars等も実装されている。mktimeや、フォーマットが指定できるdate関数などは需要がありそうだ。 60を越える関数が用意され、各関数ごとに別ファイルになっている。それだけに利用するものだけ取り込んでいけば実装も手軽になる。実装が細かく分けられているので、皆で個別に製作していけばどんどん作れていけそうな気がする。 プログラム言語で関数が
Apacheのログを解析してRSSに出来るPHP5用クラスライブラリ「Apache Log Analyzer 2 Feed」:phpspot開発日誌
Apacheのログを解析してRSSに出来るPHP5用クラスライブラリ「Apache Log Analyzer 2 Feed」 2007年06月11日- Apache Log Analyzer 2 Feed ApacheLogAnalyzer2Feed is a really powerful open source PHP 5 class to parse and analyze Apache Web Server log files. Apacheのログを解析してRSSに出来るPHP5用クラスライブラリ「Apache Log Analyzer 2 Feed」。 このクラスを使って、例えば次のようなことが出来るようです。 Googleのクローラーがサイトにいつ訪れたか?をRSSによって配信 Googleのクローラーがサイトのどのページにいつ訪れたか?をRSSによって配信 ユーザがいつ、どの
PHPフレームワークと携帯メールアドレスの罠 (2007-06-03)
メールについての基礎知識 メールアドレスについての基礎知識 メールアドレスの文字制限 携帯電話各社の、メールアドレス設定に関する制限(1) 各社のlocal-partの制限とRFC(1) dot-atomについて 携帯各社の、メールアドレスに設定に関する制限(2) 各社のlocal-partの制限とRFC(2) "."をlocal-partの先頭または最後に配置、あるいは連続して使用したアドレス 対処法 PHP in Fukuoka: 2007-06-03 はじめに このスライドは、http://hxxk.jp/2007-06-03にていつでも閲覧可能です。 全ての項目を書き写したり、写真に残したりする必要はありません。 ただ、スライドはあくまで最低限のことしか書いていないので、ポイントは適宜メモ等をお願いします。 今回の内容は、2004~2005年頃にhxxk.jpで書いた内容をベースに
Pro Drupal Development - Slashdot
The book was written by John K. VanDyk and Matt Westgate, both of whom are experienced computer programmers, who years earlier had created their own CMS. In their book's Introduction, they confess to discovering Drupal and its many advantages, switching over to it, and presumably abandoning further development of their own CMS. This speaks volumes about their regard for Drupal, because an individu
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://youmos.com/news/drupal_cms.html
IBM Developer
Charming Python: Functional programming in Python, Part 3
アシアル株式会社
DEVShed
