13. $_SERVER['PHP_SELF']とXSS脆弱性
皆さんは同じスクリプトへのリンクを貼る時、どの様に記述していますか? $_SERVER['PHP_SELF']を用いることがあるのではないでしょうか。これを直接用 いることは危険です。なぜならば、$_SERVER['PHP_SELF']にはクロスサイト・ス クリプティング(XSS)脆弱性が存在するからです。 $_SERVER['PHP_SELF']はしばしば次のように使われます。 <form method="post" action="<?php echo $_SERVER['PHP_SELF'] ?>"> このページ(ここではhttp:/www.example.jp/example.php)へ下記の様にリンク を貼り、クリックしてみて下さい。 <a href="http://www.example.jp/ example.php/%22%3E%3Cscript%3Ealert(%27XS
![13. $_SERVER['PHP_SELF']とXSS脆弱性](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)
脆弱性修正のPHP 5.2.1、早期にアップグレード適用を
特定の状況下でリモートから悪用できてしまう脆弱性もあり、PHPチームは全ユーザーに対しできるだけ早期のアップグレードを促している。 PHP開発チームは2月9日、複数の脆弱性に対処した新バージョンのPHP 5.2.1をリリースした。全ユーザーに対し、できるだけ早期のアップグレードを促している。 PHPサイトに掲載された情報によれば、今回発見・修正された脆弱性の中には、特定の状況下でリモートから悪用できてしまうものや、共有ホスティング環境でPHPをApacheモジュールとして利用している場合にローカルユーザーに悪用される恐れがあるものなどが含まれる。 セキュリティ企業Secuniaのアドバイザリーでは、これらの脆弱性を突かれると、重要な情報が漏洩したり、特定のセキュリティ制限が回避されてしまう可能性があると指摘。危険度は5段階で真ん中の「Moderately critical」と評価している。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Vine Linuxで自宅サーバー