スクリプトインジェクション入門 - Qiita
はじめに 今回の記事は PHP を想定しています。 PHP は WEB サイトで最も使われていて、初心者がとっつきやすく、セキュリティーホールのあるシステムを最も多く生み出し続けている言語ですよね( ̄▽ ̄;) そこで WEB プログラミングの初心者の方をターゲットに、出来るかぎり分かりやすく書いてみます。 というのは建前で、今週末にある PHP セキュリティのお勉強会の予習です。 記事の内容を他人の公開サーバーで試すと犯罪になる場合もあるので注意してね。 セキュリティを確保するにはシステムのアップデートが欠かせませんが、PHP は後方互換性に乏しく、バージョンアップが高コストなため、問題のあるバージョンのまま放置されたシステムになりやすく危険な言語だと思っています。 これは Ruby も同じで、私が言語を選べるなら、どちらも使いません。 堅い言語なら Java か C#(ASP.NET)、
文字コードの脆弱性はこの3年間でどの程度対策されたか?
4. デモ1:半端な先行バイトによるXSS • 半端な先行バイトとは – Shift_JIS、EUC-JP、UTF-8などマルチバイト文字の1 バイト目だけが独立して存在する状態 – 次の文字が、マルチバイト文字の2バイト目以降の文 字として「食われる」状況になる – input要素などの引用符「”」を食わせて、イベントハ ンドラを注入する攻撃 Copyright © 2010-2014 HASH Consulting Corp. 4 5. デモ1:PHPソース <?php session_start(); header('Content-Type: text/html; charset=Shift_JIS'); $p1 = @$_GET['p1']; $p2 = @$_GET['p2']; ?> <body> <form> PHP Version:<?php echo htmlspeci
書籍「気づけばプロ並みPHP」にリモートスクリプト実行の脆弱性
書籍「気づけばプロ並みPHP」のサンプルスクリプトにリモートスクリプト実行の脆弱性があるので報告します。 はじめに Yahoo!知恵袋の質問を読んでいたら、以下の質問がありました。 気づけばプロ並みPHP (著)谷藤賢一 (発行)リックテレコムP112の画像をアップロードする機能でエラーがでます。 http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q11119835496 より引用 質問に対しては回答が既についてクローズされていましたが、引用されているソースを見て任意のファイルを任意のファイル名で、Web公開ディレクトリにアップロードできることに気づきました(下記)。 <?php // 略 $pro_gazou=$_FILES['gazou']; // 略 if($pro_gazou['size']>0) { if ($pro_
PHP で簡単にサーバーを監視して一定ラインを超えたらメール通知するコード
ロードアベレージ通知するだけなら負荷監視ツールを入れるより、PHP なりで書くほうが楽で簡単とのことで友達に教えてもらいましたので、ひとつ書いてみました。以下のコードを loadave.php など適当な名前で保存して cron で定期実行すれば良いです。 <?php mb_language("ja"); mb_internal_encoding("UTF-8"); date_default_timezone_set('Asia/Tokyo'); $servername = 'localhost '; // サーバー名(任意) $mail1 = 'info@example.com'; // 通知先1 $mail2 = 'alert@example.com'; // 通知先2 $notice1 = '3.00'; // 通知ライン1 $notice2 = '5.00'; // 通知ライン2
Webアプリケーションに対する広範なDoS攻撃手法(hashdos)の影響と対策
28C3(28th Chaos Communication Congress)において、Effective Denial of Service attacks against web application platforms(Webプラットフォームに対する効果的なサービス妨害攻撃)と題する発表がありました(タイムスケジュール、講演スライド)。 これによると、PHPをはじめとする多くのWebアプリケーション開発プラットフォームに対して、CPU資源を枯渇させるサービス妨害攻撃(DoS攻撃)が可能な手法が見つかったということです。この攻撃は、hashdos と呼ばれています。 概要PHPなど多くの言語では、文字列をキーとする配列(連想配列、ハッシュ)が用意されており、HTTPリクエストのパラメータも連想配列の形で提供されます。PHPの場合、$_GET、$_POSTなどです。 連想配列の実装には
PHP5.3.7のcrypt関数のバグはこうして生まれた
昨日のブログエントリ「PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #55439)」にて、crypt関数の重大な脆弱性について報告しました。脆弱性の出方が近年まれに見るほどのものだったので、twitterやブクマなどを見ても、「どうしてこうなった」という疑問を多数目にしました。 そこで、このエントリでは、この脆弱性がどのように混入したのかを追ってみたいと思います。 PHPのレポジトリのログや公開されているソースの状況から、PHP5.3.7RC4までこのバグはなく、PHP5.3.7RC5でこのバグが混入した模様です。RC5はPHP5.3.7最後のRelease Candidateですから、まさに正式リリースの直前でバグが入ったことになります。 バグの入る直前のソースは、ここの関数php_md5_crypt_rから参照することができます。以下に、おおまかな流れを図示します。まずはバ
チューニンガソンで優勝してきました : DSAS開発者の部屋
7/9(土)にチューニンガソン というイベントに参加して優勝してきたので、その報告と、何を考えてどんなチューニングをしたのかを 記憶の範囲で公開したいと思います。 今回のチューニンガソンのお題は、WordPress(ja) + php + Apache + MySQL で、 ab を使って wp-comment.php 経由でコメントのポストをすることで計測が行われました。 MySQLとApacheを立ち上げたらWordPressが動く環境が渡され、そのWordPress自体は設定ファイルを含めて 改造が一切禁止、WordPressの実行をショートカットするチートも禁止です。 0. 試合前日 環境がAWSとAMI Linuxということは事前に公開されていたため、前日にAWSに登録して少しだけAMI Linuxを 触ってみました。yumベースだけどCentOSと違って結構新しいバージョンが用
[連載]WordPressでWebサービスを作る方法(1:PHPとは) | Stocker.jp / diary
このブログでは何度も触れていますが、3月に フリー写真素材 :: Free.Stocker という無料写真素材サイトをオープンしました。 このサイトは、WordPress というブログ向けの CMS(コンテンツ管理システム)を使って作りました。 このサービスを作った際の手順をケーススタディとして「PHPやWordPressを全く知らない方でも、WordPressでWebサービスを作り、それをたくさんの方に利用して頂ける方法を分かりやすく学べる記事を書こう」と思い書き始めたのがこの記事ですが、「PHPとは」から「WordPressサイトにおける内部SEO」「ソーシャルメディアマーケティング」まで網羅する特大記事になり、1記事として一度に掲載することが難しくなったので、全10回の連載としてお送りします。 WordPressやPHP初心者の方はぜひ1ページ目からソースコードを書き写しながら、既に
![[連載]WordPressでWebサービスを作る方法(1:PHPとは) | Stocker.jp / diary](https://cdn-ak-scissors.b.st-hatena.com/image/square/947985bcd7f71a4e7f7feaf02c144a8017885e3c/height=288;version=1;width=512/https%3A%2F%2Fi0.wp.com%2Fstocker.jp%2Fdiary%2Fwp-content%2Fuploads%2F83-1.png%3Ffit%3D500%252C300%26ssl%3D1)
WEBサービスを作るなら最低限覚えておきたいPHPのPEARモジュールまとめ:phpspot開発日誌
(追記) 2/16 23時 いくつかのライブラリを追記しました。 WEBサービスを作るなら最低限覚えておきたいPHPのPEARモジュールまとめ。 本家pearには560程のモジュールがあります(2011/2月現在)が、WEBサービスを作る上でよく使う物をまとめてみました。 これからPHPを使ってサービスを作ろうと思っている方は代替を使うことになると思うので参考にしてみて下さい。 php はインストール時点で既に多くの機能が備わっており、大体のことができてしまいますが、PEARを使うことで面倒なことがより簡単にできるようになります。 PEAR以外にも便利なライブラリはあるのですが、今回はあえて殆どをPEARサイトで公開されている物に絞ってご紹介します。 基本的なパッケージ まず、汎用に使える便利なパッケージのご紹介です。 HTTP_Request2 url を渡してリモートのテキストを取って
PHPフレームワークの「codeIgniter」がスゴすぎる | H2O Blog.
新しいことを勉強して、久々に心底感動しました。 Facebookである方が「もうすぐCodeIgniterカンファレンスが開催される」といったつぶやきをしているのを拝見し、この時初めてその存在を知りました。。 PHPのフレームワークで、習得が早く、動作速度が爆速だということだったので、ちょっと触ってみるかとダウンロードしてドキュメントを読みながら Hello World!を作ってみる。すると・・・ こ・・これはすごい・・ なにがすごいって、これまで私は「CakePHP」を超愛用していました。CakePHPは、もちろんそのほとんどがすごくいいのですが、若干だけ不満があったのです。しかし、codeIgniterではCakePHPの好きなところはそのままに、不満が全部吹っ飛んでいたのです。 では、その全貌をご覧入れましょう。 モデル・ビューが不要 CakePHPもcodeIgniterも、MV
CakePHPで作る携帯サイト·Ktai Library MOONGIFT
Ktai LibraryはPHP製のオープンソース・ソフトウェア。日本の携帯電話はとても優秀であり、携帯電話からのWebアクセスは年々増え続けている。数年後にはPCからのアクセスを抜くとさえ言われている。Webの主役は変わりつつあるのだ。 ファイル構成 そうなれば携帯電話向けサイト開発はごく当たり前に行うべきものになるだろう。PCサイトとは相当にノウハウが異なるので注意が必要だ。だが既にすばらしいライブラリが多数ある。CakePHP開発者ならKtai Libraryを使うといいだろう。 Ktai LibraryはPHP4/PHP5両方に対応したライブラリで、CakePHP用のライブラリになっている。絵文字キャッシュ、IPによるキャリア判定、Google Static Maps APIの利用、インラインスタイルシート支援、セッション対応、リダイレクト対応、uid取得、キャリア判別など多数の機
文系ド素人がmixiアプリを開発〜リリースするまでのまとめ - kazu0620's blog
というわけで プログラミング未経験の状態から、mixiアプリのリリースまでなんとか漕ぎ着けることができました!最近、OpenSocial界隈は盛り上がってるみたいだし、プログラミング経験はないけれど、興味ある!って人も多いと思います。そこで、所謂「ド素人」の状態からプログラミングを勉強してmixiアプリをリリースするに至るまでの僕の軌跡と、何をどう勉強すればいいのか?ってのをまとめてみました。webで調べたり、プログラマの知人に相談したりしてこれは良かった!って部分を抜き出してまとめたので、これから勉強するぞって方は参考にして頂ければ幸いです。これであなたもSAP(ソーシャル・アプリ・プロバイダー)に! 完成したアプリ 「一行リレー小説」 http://mixi.jp/view_appli.pl?id=15525 開発期間:実質3ヶ月程度 リリース日:3月24日 現在の投稿総数:7622行
PHPで誰でも簡単Webサービス製作!でなんか作って公開した奴ちょっと来い - 甘味志向@はてな
タイトルは出来れば関連する方に読んで欲しかったので、軽く釣り針にしました。すみません。:*) 最近はやりのヒウィッヒヒー(Twitter)でも、よく「○○ったー」みたいなサービスがばんばん登場してますね! おかげでますますツイッターが面白い感じになってて、いい流れですね! でも・・・ちょっと気になることが・・・ 最近「もうプログラマには頼らない!簡単プログラミング!」だとか・・・ 「PHPで誰でも簡単Webサービス作成!」だとか・・・ はてなブックマークのホッテントリで見かけますよね・・・ プログラミングする人が増えるのは素敵です!レッツ・プログラミングなう! なんですけど・・・ ちゃんとセキュリティのこと考えてますか・・・!? 『セキュリティ対策とか難しいし面倒くせーし、俺の適当に作ったサービスとかどうなってもイイしww』 いいんですいいんです! 別にそう思ってるならどうでもいいんです!
CakePHPマニュアル
John David Anderson (docs at cakephp dot org)までEメールを送るか、IRC (#cakephp on freenode as _psychic_)で、参加したい旨を連絡してください。 翻訳者Tips: アクセント文字のためにhtml entitiesを使用しないでください。このbookはUTF-8を使っています。 フレンドリーな文体を使ってください。 タイトルと内容を同時に翻訳してください。 翻訳する言語のページで閲覧・編集してください。そうしないと、英語ページの編集として記録されてしまいます。どの言語の翻訳なのかをレビューアーが知っていることはまれです。 マークアップを大幅に変更したり、新しい内容を追加したりしないでください。オリジナルの内容の情報に不備があるのであれば、英語の情報をまず編集してください。 用語を英語で書く場合には
twitterのプログラマーアカウントリスト - 好奇心の赴くままに
たぶん全員日本人です nipotan Perl hacker. Sr. manager at 'livedoor Co.,Ltd.' which runs portal site and various geeky services. miyagawa Kind of a symbol of Japanese hacker. CTO of Six Apart. Developer of 'Plagger'. One of top CPAN auther. Former leader of Shibuya Perl Mongers. ex CTO of livedoor Co.,Ltd. dankogai One of Perl guru in Japan. He developed encode.pm module. And also he is very famous as a blog
WordPressでモバイル コンテンツ向け AdSense入れるのは楽勝。 - ムジログ
昨晩、Skypeチャットで知人たちとチャットしていると、モバイルアフィリエイトをやりたい、という声が上がってた。ボクはそんな中で「WordPressでモバイル コンテンツ向け AdSense入れるのは楽勝。」というような内容の発言をしたのだが、「え?そうなの?」と知られてないことに驚いてしまった。 ということで、今日はモバイルコンテンツ向けAdsenseの導入の仕方について説明してきました。 ブログ上でもシェアします。 大前提 モバイルコンテンツ向けAdsenseを入れる前提として、Adsenseの管理画面を見ていただくとわかりますが、当然Javascriptではありません。 PHP v4.3.0 以降 CGI/Perl v5.8 以降 JSP v1.2 以降 ASP v3.0 以降 というプログラムが動く環境で無いとAdsenseを入れられません。 ですので、Seesaaブログであ
Webサイト作成の流れを変えるか?·LTSun-Engine MOONGIFT
システマチックでない、いわゆる静的なWebサイトを構築する仕組みが変わり始めている。Concrete5やZimplitに代表されるような、その場で見たままにWebサイトを作り上げていくという流れが強まっているのを感じている。 ユーザ画面をそのまま編集する これまでのCMSでは管理画面を通してユーザ画面を変更していた。だがこれでは距離ができてしまい、本当に提供したかった内容が伝わらないかも知れない。見たままに即座に反映されるなら、自分たちの思いをそのままに投影できるはずだ。 今回紹介するオープンソース・ソフトウェアはLTSun-Engine、ユーザサイトを編集するCMSだ。 LTSun-Engineはユーザが閲覧しているWebサイトのコンテンツをその場で編集し、反映することができる。WYSIWYGエディタを通すので、ポップ内での編集にはなるのだが、編集後にPublishをクリックすれば反映は
Vimeo
*]:h-full xl:cursor-pointer xl:before:z-[-1] xl:before:content-[""] xl:before:block xl:before:w-[calc(100%+(0.65rem*2))] xl:before:h-full xl:hover:before:bg-global-nav-hover-background-accent [&[data-active="true"]]:xl:before:bg-global-nav-hover-background-accent xl:before:absolute xl:before:top-1/2 xl:before:left-1/2 xl:before:-translate-x-1/2 xl:before:-translate-y-1/2 xl:before:rounded-xl xl:tr
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
大規模ソーシャルゲーム開発から学んだPHP&MySQL実践テクニック
IDEA * IDEA
