徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2012OWASP TOP 10 2004を中心にとして、バリデーション偏向の脆弱性対策にツッコミを入れます。 PDFダウンロードは以下から http://www.hash-c.co.jp/archives/owasp-j-201203.html
IBM Blog
February 7, 2024 The sense of urgency has never been higher for businesses to leverage data and AI for competitive a... February 7, 2024 The commercialization of amateur sports has accelerated college recruiting decision-making timeline... February 6, 2024 We are pleased to announce that IBM products have earned 17 placements in G2’s 2024 Best Software...
PHP の脆弱性に関する注意喚起
各位 JPCERT-AT-2012-0016 JPCERT/CC 2012-05-09(初版) 2012-05-10(更新) <<< JPCERT/CC Alert 2012-05-09 >>> PHP の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2012/at120016.html PHP Group より php-cgi のリクエスト処理に関する脆弱性が公開されました。 PHP Group によると、Web サーバ上に PHP を CGI モードで動作させている場合、 遠隔の第三者が PHP スクリプトのソースコードを閲覧したり、Web サーバの権 限で任意のコードを実行したりする可能性があるとのことです。 本脆弱性を使用する攻撃手法が公開されています。「III. 確認方法」を参考 に、自身が管理するサーバが本脆弱性の影響を受けるか確認し、影響を受
勝手に訂正: 「PHP における SQL インジェクション攻撃を行われる脆弱性 (JVNDB-2012-001388)」 - co3k.org
備考 2012/02/16 11:36 2012/02/15 05:01 に公開した最初の版に比べ、以下の変更を加えています。 「影響を受ける PHP のバージョン」についての言及部分をはじめ、「脆弱性の概要」を大幅見直し 「この脆弱性の原因」の章を追加 「再現? したが」の章を追加 なにはともあれ再現は確認できたので「(困り度: 暇なときにでも)なんか手元で再現しない件」の章は全文削除 2012/02/14、あの忌々しいバレンタインの日に JVN iPedia に追加された以下の記事をご存じでしょうか。 JVNDB-2012-001388 PHP における SQL インジェクション攻撃を行われる脆弱性 PHP は、環境変数のインポート中の magic_quotes_gpc ディレクティブへの一時的変更を適切に処理しないため、容易に SQL インジェクション攻撃を行われる脆弱性が存在します
Linux 25 PHP Security Best Practices For Sys Admins
PHP is an open-source server-side scripting language, and it is a widely used. The Apache/Nginx/Lighttpd web server provides access to files and content via the HTTP OR HTTPS protocol. A misconfigured server-side scripting language can create all sorts of problems. So, PHP should be used with caution. Here are twenty-five php security best practices for Linux and Unix sysadmins for configuring PHP
PHP環境で発生するMongoDB Request Injection攻撃
はじめに SaaS型WAF「Scutum(スキュータム)」では、最近バックエンドのDBにMongoDBの導入を進めています。私も個人的にPHPのフレームワークであるCakePHP向けにMongoDBを扱うプラグインCakePHP-MongoDB Datasourceを開発し、公開しています。 https://github.com/ichikaway/cakephp-mongodb/ 今回は、PHPからMongoDBを扱う際の注意点として、RequestInjection攻撃に関して書きたいと思います。この問題は、phpマニュアルのMongoドライバーの章でも扱われています。 この記事では、はじめにPHPでMongoを操作する方法、PHPの基本を書き、最後にInjection攻撃の仕組みと対応方法を書きます。 PHPでMongoDBを扱うには PHPでMongoDBを操作する場合、10gen
もうバージョンアップで困らない – PROVE for PHP
(Last Updated On: 2018年8月14日)昨年のPHPカンファレンスで紹介したPORVE for PHP 開発版の公開を始めました。PROVE for PHPはこんなテストが出来ます。 PHPをアップデートしてアプリに影響が無い事を検証する PHPアプリをアップデートしても以前と同じように動作する事を検証する 使い方もとても簡単です。 テストケースの作成はブラウザからアプリを利用するだけ ロードバランサを用いて実運用サーバからのテストケースも作成可能 テストの実行はプログラムを実行するだけ 違いが在った場所はプログラムの何処か確実&簡単に判明 http://www.provephp.com/ 現状 CUIとコマンドツールでの管理のみ GUI(Web、GTK)は順次整備予定 PROVEを利用すればPHPのセキュリティパッチがリリースされた場合に、アプリケーションの動作チェック
Exploring php.net - m-takagiの日記
ソースをダウンロードしたりマニュアルを読んだりバグ情報を検索したり、あるいはPEARやPECLのモジュールを調べたり…。PHPを使っている人なら誰もが一度は訪れているPHP本家サイト。 PHP Advent Calendar jp 2010、今日はphp.netのそれ以外の顔についてのおはなしです。 最新のドキュメント置き場 - docs.php.net PHP Documentation Groupが管理するサーバです。基本的にはwww.pnp.netのミラーですがマニュアルは6時間おきにリポジトリ上の最新版に更新されており、常に最新のドキュメントを読むことができます。が、最近は公式のマニュアルも毎週更新されるようになったので、あまりありがたみがないかもしれません…。 クロスリファレンス - lxr.php.net PHP本体のソースコードをブラウザ上で読むことができます。「あの関数の実
安全でないPHPプログラムの作り方
このブログの目的は、意識的に、自由自在に、効率的に、安全でない(脆弱性のある) PHPプログラムを作成できるようになることです。 無意識に脆弱性のあるプログラムを作るという状態がなくなることを目指しています。意識的に脆弱性を入れられるようになれば、今までと同じ作業時間でも多くの脆弱性を作れるようになるでしょう。 そのような状態になれれば、脆弱性は、すべて意識されたものとなります。もし望むなら、脆弱性のない安全なプログラムを作ることもできるでしょう。そんなことを望む人がいるかどうかはわかりませんが。(笑) ただし、そのような状態になるのは、正直言って簡単ではありません。 脆弱性のあるログインフォーム の解説です。ソースコードをまだ見られていない方は、まず、脆弱性のあるログインフォーム をご覧ください。 補足ですが、コメントにあったように URL を http://localhost/this
配列データを一気にクロスサイトスクリプティング対策する関数(php) | とりさんのソフト屋さん
福井のソフトウェア会社です。AccessやExcel、.NETソフトウェア開発、WordPress等を使用したホームページのシステム化、PCサポート・メンテナンス、コンサルなどを行っています。 投稿日 2009 年 3 月 28 日 – 3:28 PM カテゴリ: php プログラムを書く上でXSS(クロスサイトスクリプティング)対策はとても面倒であり、また抜けが多いし、確認するのに人を大量投入もしくはツールを導入出来れば良いが納期と予算的な兼ね合いでそうもいかない。 「XSS対策に関しては出力時に処理するのが最善の策。最初期にやるのが次善の策。」とXSS対策に詳しい方が述べている。 いろんなサイトを見ると一気にデータを処理するのではなく変数を出力時に個別にエンティティ化させている。 しかし、出力時に個別に処理するのは、人為的なミスが混入する割合が高いと個人的に考えている。 予算も人も期
社内勉強会 - PHPによるwebアプリケーションのセキュリティ入門 - Kwappa開発室
CUI な Git ブラウザ tig を入れてみた (Born Too Late) [git][scm][tig] tig を使ってみた (do_akiの徒然想記) Twitter Trackbacks () とべとべ夏祭り2010電設部に参加した #tobesetu (key-cc) EC-CUBE LC_Page::sendRedirect()に引数を渡せない (弱小PHPerの憂鬱) [densetu][勉強会][学校]電設部IT勉強会#3やりますた(随時追記 (学内IT勉強会のススメ - atcorp) 電設部IT勉強会#3に参加したっ! (Curious) GLT #24 (懇親会)に乱入してきた! (Curious) GLT (Genesis Lightning Talks) Vol.24に参加しました (key-cc) GLT (Genesis Lightning Talks
「なぜPHPアプリにセキュリティホールが多いのか?」のセキュリティホール - ockeghem's blog
大垣靖男さんの連載から 第21回 文字エンコーディングとセキュリティ(3):なぜPHPアプリにセキュリティホールが多いのか?|gihyo.jp … 技術評論社 一見この動作は無害のように思えるかもしれませんが,ブラウザなど,“\”がエスケープ文字になっているシステムでは重大な問題となります。 <div height="<?php echo addslashes($height); ?>" width="<?php echo addslashes($width); ?>"> この記事が公開された当初,上記のechoが抜けていた。しかし,echoがないと,プログラムの正常系としても動作しない。どこかから,突っ込みが入ったのであろう,その後echoが追加された。 しかし,まだ根本的におかしい。 なぜなら,以下の部分が間違っているからだ。 ブラウザなど,“\”がエスケープ文字になっているシステム
PHP開発者とユーザが知っておくべきシェルコマンドエスケープの内部処理
(Last Updated On: 2018年8月13日)これから紹介する脆弱性はPHP 5.2.6で修正されています。修正された、とは言え注意が必要です。 PHPは古くからシェルコマンドとシェル引数をエスケープ処理する為に、escapeshellcmd関数とescapeshellarg関数を提供しています。 この関数はマルチバイト文字にも対応しているのですが、ビルドや環境によっては対応できていないときがあります。 escapeshellcmd/escapeshellarg関数ではC99で定義されてるmblen関数を利用しています。一般的なUNIX系システムではmblen関数は利用可能でると考えられるので、問題となる事は少ないと思いますが、PHPではphp_mblenマクロが以下のように定義されています。 #ifndef HAVE_MBLEN # define php_mblen(ptr,
なぜSuhosinを使うのか - hnwの日記
Suhosinプロジェクトのドキュメント「Suhosin - Why ?」を日本語訳してみました。慣れた方の翻訳とはかけ離れた出来だと思います。というのも、日本語として自然な言い回しに変えようとした部分があり、翻訳としては少々問題があるかもしれません。また、僕の英語力にもそもそも問題があるわけですが、文意は99%取れたつもりでいます。 原文も長い文章では無いので、興味を持たれた方は原文も合わせてチェックして、僕のまずい翻訳を指摘して頂ければ助かります。 Suhosinが何かについては廣川さんの記事「【PHPウォッチ】第30回 相次ぐ脆弱性修正リリースとセキュリティ強化PHP「Suhosin」」が詳しいのでそちらをご覧下さい。 補足:SuhosinはPHP本体に対するパッチと、PHPエクステンションとの2つで成り立っており、それぞれ独立しています。(参照:Suhosin Downloads)
PHP: PHPの隠蔽 - Manual
PHPの隠蔽 一般に隠蔽という手段はセキュリティとしては弱いものだと言われています。 しかしこうした手法が望ましい場合もあります。 PHP を隠すための簡単な技法がいくつかあり、 システムの弱点を見つけようとする攻撃を遅延させることができる可能性があります。 php.ini ファイルで expose_php を off と設定すれば、 攻撃者が利用可能な情報を減らすことができます。 他の手段は、ApacheのようなWebサーバーで PHPに異なるファイル形式をパースさせるように設定することです。 これは、.htaccessディレクティブまたは Apacheの設定ファイル自体で指定します。 これにより、紛らわしいファイル拡張子を使用可能です。
"セキュアな PHP アプリケーションを作成するための 7 つの習慣" を全力でDISる - id:k-z-h
セキュアな PHP アプリケーションを作成するための 7 つの習慣まずタイトルからして嫌なにおいがしたんだが、最初の項読んだだけで頭いたくなってきた。こんなクズみたいな記事を「すごい!さすがIBM様やでー!」とか、「感心した!みんなこれをみて学ぶべき!」とか言って有り難がってブクマってる奴らは脳が腐ってるんじゃないのか。 なにがクズかって言うと、全体的に中途半端。それぞれの留意点についてコードを見せて具体的な事例を挙げてるけど例示されてるコードの質が半端なく低いそもそも前提条件からしてずれてる結局具体的な対処法が書かれていない書かれている対処法がダメダメ対処法だけ書いてあってなぜそうするのかの理由が書いていない 特に最後のが重要で、「XXXしちゃいけません!」とか「XXXしましょう!」とだけ書いてると、理由がわからないのでその対処が正しいのかわからない。正しくなければもちろん問題だし、正し
「セキュアなPHPアプリケーションを作成するための7つの習慣」のサンプルがとんでもなく酷い - ockeghem's blog
はてブで250以上のブックマークを得ている以下のエントリ。 PHP アプリケーションを作成する際には、可能な限りセキュアなアプリケーションにするために、次の 7 つの習慣を守る必要があります。 入力を検証する ファイルシステムを保護する データベースを保護する セッション・データを保護する XSS (Cross-Site Scripting: クロスサイト・スクリプティング) の脆弱性から保護する フォームへの投稿を検証する CSRF (Cross-Site Request Forgeries: クロスサイト・リクエスト・フォージェリー) から保護する ほう。しかし、内容はどうだろうか。 読んでびっくりした。説明も微妙なところが多いが、サンプルが酷い。こんなサンプルでは悪い習慣が身についてしまう。全部は書ききれないと思うので、目についたところからピックアップして紹介する。 パストラバーサル
書籍「はじめてのPHPプログラミング基本編5.3対応」にSQLインジェクション脆弱性 - 徳丸浩の日記(2008-10-29)
id:hasegawayosuke氏にそそのかされるような格好で、「はじめてのPHPプログラミング基本編5.3対応」という書籍を購入した。 本書は、ウノウ株式会社の下岡秀幸氏、中村悟氏の共著なので、現役バリバリのPHP開発者が執筆しているということ、下記のようにセキュリティのことも少しは記述されているらしいという期待から購入したものだ。 目次から抜粋引用 07-07 Webアプリケーションのセキュリティ [セキュリティ] 08-04 データベースのセキュリティ [SQLインジェクション] 09-13 セキュリティ対策 [セキュリティ] 本書をざっと眺めた印象は、「ゆるいなぁ」というものであるが、その「ゆるさ」のゆえんはおいおい報告するとして、その経過で致命的な脆弱性を発見したので報告する。 問題の報告 それは、本書P280に登場する「SQLインジェクション対策用の関数(dbescape)」
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Be Suspicious. Online Security Blog - Suspek.org
Be Suspicious. Online Security Blog - Suspek.org