PHPのSessionモジュールの脆弱性
(Last Updated On: 2018年8月13日)たまたま目に止まったブログがあるので紹介します。 PHP:session_set_save_handlerリファレンスマニュアルのサンプルにパス・トラバーサル脆弱性 http://www.tokumaru.org/d/20080818.html#p01 [php]session_set_save_handlerのパストラバーサルで任意コマンドの実行が可能 http://www.tokumaru.org/d/20080819.html#p01 この危険性はStrict Sessionパッチが作られた頃にも議論されていました。このパッチを摘要するとセッションアダプション脆弱性も修正します。もし、互換性なので要件で厳格なSession管理ができない場合でもセッションIDに利用可能な文字は安全な文字のみに限定されるのでパストラバーサルなどの
PHPで安全なセッション管理を実現する方法に対する高木さんのコメントへのフォロー - いしなお! (2006-11-20)
_ PHPで安全なセッション管理を実現する方法に対する高木さんのコメントへのフォロー 高木さんのはてなブックマークコメントに、 [セキュリティ][乱数][暗号][PHP][moderate] PHPはセッションID生成にsecureな擬似乱数生成系を使用していないようだ。さすがPHPらしい駄目っぷり。 とあって、そこから人がたくさん来ているらしいんで、ちょっとだけフォロー。PHPのセッションID生成は、 sprintf(buf, "%.15s%ld%ld%0.8f", remote_addr ? remote_addr : "", tv.tv_sec, (long int)tv.tv_usec, php_combined_lcg(TSRMLS_C) * 10); なんて感じで、マイクロ秒単位の現在時刻+ユーザーのリモートアドレス+combined-LCG(線形合同法による乱数2つを組み合
PHPで安全なセッション管理を実現する方法
_ 残り容量が数十Mバイトになっていた PCがなんかくそ遅いなーと思ってふと空きディスク容量をみたら、残り数十Mバイトまで減っていた。Folder Size for Windowsで各ディレクトリ単位のディスク使用量をながめてみたところ、 Thunderbirdでimapでアクセスしているアカウントのデータフォルダに、なぜか1GバイトオーバーのINBOXファイルがあった。なにこれ? 削除したけど別に動作には支障はなし。 puttyのlogが無限に追記されたよ……。数Gバイト。 昔ダウンロードしたCD/DVD-ROMのisoイメージファイルが、そこかしこに消されず残ってたよ。10Gバイトオーバー。 あと、細かいテンポラリディレクトリの中身とか消したら、30Gバイトくらい空いた。そこまでやって久しぶりにデフラグを起動したら、表示が真っ赤(ほとんど全部断片化されている)だったので、最適化実行中。
JavascriptのDES暗号化ライブラリ:phpspot開発日誌
DES Source Code This page shows how to use this DES function, and provides the source code in Javascript, Perl and PHP. JavascriptのDES暗号化ライブラリの紹介。トリプルDESによって暗号化することも可能です。 次のように使うことが可能です。 des (string key, string message, boolean encrypt, [integer mode, string iv]) Perl,PHPの同様のアルゴリズムコードも公開されています。
MOONGIFT - PHP Screw - オープンソースによるIT戦略支援 -
サーバにインストールして使えるRSSリーダー 自宅サーバやイントラサーバにインストールして使えるRSSリーダー。 サーバにインストールして使えるRSSリーダー Yahoo!などのサーバ型RSSリーダーで記事が最新に更新されるのを待たされていらいらさせられる事はないだろうか。また、クライアント型のRSSリーダーを使っていて自宅のパソコンでしか記事が見られずに不便な思いをする事もあるだろう。 特に会社内ではチェックする情報も似通っており、それを様々な管理するのは煩雑だ。ネットワークの負荷増大にもつながり、クライアント型のメリットは薄い。 本日紹介するフリーウェアはFreshReader、自宅のサーバや会社のイントラサーバにインストールして使えるRSSリーダーだ。 FreshReaderはPHPで書かれており、ApacheなどのWebサーバの好きなディレクトリにダウンロードしたファイルをコピーす
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
連載:なぜPHPアプリにセキュリティホールが多いのか?|gihyo.jp