タグ

phpとセキュリティに関するockeghemのブックマーク (6)

  • 今も新規開発され続けるPHP 4アプリケーション - ockeghem's blog

    この日記をご覧の方には先刻ご承知のことだろうが、去る7月13日に、PHP 4のEOL(End Of Life)アナウンスが公式に宣言された*1。 これによると、PHP 4のメンテナンスは2007年12月31日まで、重大なセキュリティホールへの対応も2008年8月8日までとなっている。このため、既存の膨大なPHP 4アプリケーションのマイグレーションをどうするかは大きな課題である。 ここまでは皆さんご存知の情報であろう。 しかし、PHP 4アプリケーションは今も開発され続けている。私がそれを知ったのは、Webアプリケーションの脆弱性診断をしているからである。診断にてPHPなどの脆弱性を発見した場合はこれまでも都度報告していたが、2007年7月13日以降は、PHP 4を使っているだけでも、(脆弱性ではないが)上記情報を報告し、PHP 5への移行を推奨してきた。そういうレポートを書く際には、「き

    今も新規開発され続けるPHP 4アプリケーション - ockeghem's blog
  • サービス終了のお知らせ

    サービス終了のお知らせ いつもYahoo! JAPANのサービスをご利用いただき誠にありがとうございます。 お客様がアクセスされたサービスは日までにサービスを終了いたしました。 今後ともYahoo! JAPANのサービスをご愛顧くださいますよう、よろしくお願いいたします。

  • [セキュリティ]画像へのPHPコマンド挿入 ― T.Teradaの日記

    だいぶ時間がたってしまいましたが、大垣さんの以下のブログにコメントしたことなどをまとめます。 画像ファイルにPHPコードを埋め込む攻撃は既知の問題 – yohgaki's blog アップロード画像を利用した攻撃についてです。 攻撃の概要 画像ファイルにPHPコマンドを挿入する攻撃は、大きく2種類に分けることができます。 1つは、画像のアップロード機能を持つサイト自身を狙う攻撃です。PHPで開発されており、任意の拡張子のファイルのアップロードを許すサイトでは、拡張子がphpなどのファイルをアップロードされる恐れがあります。 拡張子がphpなどのファイルに仕込まれたPHPコマンドは、そのファイルにHTTP/HTTPSでアクセスされた際に実行されます。攻撃者は、アップロードファイルを通じて、画像が置かれるWebサーバ上で任意のコマンドを実行することできます。 この脆弱性は、アップロード可能なフ

    ockeghem
    ockeghem 2007/07/17
    言いたいことはコメント欄に書きました
  • T.Teradaの日記 HTML Purifierを試した

    Webメールでは、受信したHTMLメールのタグを残して、クライアントサイドスクリプト(JavaScriptなど)のみを除去するサニタイズ処理を行ないます。 このようなスクリプト除去処理は、Blog、掲示板などでも行なわれる、比較的ポピュラーなものであるため、それ用のライブラリがいくつか存在します*1。 HTML Purifierもその一つです。PHP4/5で動作します。バージョン1.0.0のリリースは2006年9月ですから、比較的新しいものです。私は昨年末に初めて触ってみました(バージョン1.3.2です)。 これまでのものと比べて、非常によく出来ているなと思いましたので、日記に書いてみます。 HTML Purifierの概要 特徴としては、以下が挙げられると思います。 ユニコード対応 UTF-8HTMLに対応(既存のライブラリの多くはlatin1を暗黙の前提としていました)。EUC-JP

    T.Teradaの日記 HTML Purifierを試した
  • PHPエクステンションで関数をチェック、アシアルがWebアプリ脆弱性の検査ツール

    アシアルは、Webアプリケーションの脆弱性を検査するセキュリティスキャナ「Chorizo!」の提供を開始した。 アシアルは4月10日より、Webアプリケーションの脆弱性を検査するセキュリティスキャナ「Chorizo!」の提供を開始した。アプライアンスもしくはASPサービスとして提供される。 Chorizo!は、クロスサイトスクリプティングやSQLインジェクション、コードインクルージョンといったWebアプリケーションに特有の脆弱性を検査し、レポートするツール。プロキシサーバとして動作し、Webブラウザに統合された形で利用できるため、ブラウズしながらセキュリティテストを実施できる点が特徴だ。 「無償版」と「商用版」の2種類があり、無償版では検査対象となるホスト数に限定があるが、基機能が利用できる。一方商用版では、スキャンの履歴/解析や解決方法のアドバイスといった機能が加わるほか、PHPエクス

    PHPエクステンションで関数をチェック、アシアルがWebアプリ脆弱性の検査ツール
    ockeghem
    ockeghem 2007/04/12
    後で読む
  • 3月は「PHPバグ月間」,元開発者がバグを毎日公開へ

    2006年12月に「PHPセキュリティを高めようといくら頑張っても無駄な努力だと悟った」と宣言してPHPセキュリティ・レスポンス・チームを離脱したPHP開発者のStefan Esser氏のことをご記憶だろうか。そのEsser氏が3月に「Month of PHP Bugs(PHPバグ月間)」という,PHPのバグを公表する活動を実施するという。 Esser氏は,PHPセキュリティを強化する優れたパッチ「Suhosin」の開発者である(関連記事:PHPの「守護神」Suhosin)。そのEsser氏は2006年12月,自身のブログで「PHP開発陣はPHPセキュリティ問題の責任をユーザーに転嫁することには熱心だが,誰かがPHPそのもののセキュリティを批判しようとすると,たちまち好ましからざる人物として目の敵にする。私がPHPセキュリティ・ホールを公表したり,Suhosinの開発を進めたことで

    3月は「PHPバグ月間」,元開発者がバグを毎日公開へ
    ockeghem
    ockeghem 2007/03/02
    なんか、むきになってるような感じですね。
  • 1