2007年6月24日のブックマーク (2件)

  • 画像ファイルに PHP コードを埋め込む攻撃は既知の問題

    (Last Updated On: 2015年9月10日)国内外のメディアで「画像ファイルに攻撃用のPHPコードが含まれていた」と比較的大きく取り上げられています。しかし、この攻撃手法は古くから知られていた方法です。条件は多少厳しくなりますがPerl, Ruby, Pythonでも同様の攻撃は考えられます。PHPの場合は言語仕様的に他の言語に比べ攻撃が容易です。 典型的な攻撃のシナリオは次の通りです。 追記:Tokenizerを使った例に修正しました。 アバダなどの画像ファイルをアップロードできるサイトを探す ローカルファイルインクルードバグを探す 画像ファイルにサイトが利用している言語のコードを埋め込む 攻撃コードを含んだファイルを画像ファイルとしてアップロードする ローカルファイルインクルードバグを利用して攻撃コードを実行する PHPの場合、リモートインクルードバグを攻撃するための攻撃

    画像ファイルに PHP コードを埋め込む攻撃は既知の問題
    oooooooo
    oooooooo 2007/06/24
    GIFファイルのアップロードならGIF->PNG->GIFと変換します。変換の過程で攻撃コードは削除されます / 、正規表現関数で"<?php"を検索するのも有効 / if (mb_eregi('<?php', $image)) {
  • IEとFFで同時にCSSを確認しながら編集できるフリーソフト『CSSVista』

    異なるブラウザのブラウザチェックをもっと簡単にしたい。 そんなあなたにおすすめなのが、『CSSVista』。IEとFFで同時にCSSを確認しながら編集できるフリーソフトだ。 What is it? CSSVista is a free Windows application for web developers which lets you edit your CSS code live in both Internet Explorer and Firefox simultaneously. CSSVistaとは? CSSVistaはweb制作者のためのWindowsアプリケーション。ライブにIEとFFのCSSを同時に編集できる。 とのことだ。 IEとFFといっても、バージョンにも対応している。IE4から6,NN4から8など、様々なブラウザ、バージョンに対応している。 ライブに、しかも異