[PHPプロ!] preg_matchの注意点:CodeZine
PHP Security Blogでpreg_matchをフィルターとして使用する際の注意点について言及されています。 以下のような$_GET['var']をフィルタリングするスクリプトを考えます。 <?php $clean = array(); if (preg_match("/^[0-9]+:[X-Z]+$/", $_GET['var'])) { $clean['var'] = $_GET['var']; } ?> <?php $str_list = array( "OK" => "1234:XYZ", "OK_EOL" => "1234:XYZ" . PHP_EOL, "NG_1" => "1234:XYZ" . PHP_EOL . "aaa" ); foreach ($str_list as $k => $v) { if (preg_match("/^[0
携帯業界の認証事情 Part2 - y-kawazの日記
先日の日記で携帯の認証に関しての考察をして、とりあえずキャリア毎のIP制限を行っていれば端末IDやユーザID認証を信用していいのでは無いか?と書いたのだが、更に調べた結果どうも怪しい実態が見えてきたので危険度と合わせて再度纏めてみようと思う。 とりあえず指摘があったので前回のテストに加えて以下を試してみました。 NO uidに指定した値 実際に送信されてくる値 8 %30%31%32%33%34%35%36%37%38%39%61%62*1 1234567890ab うわ弱っ、駄目じゃん。見事にuidの詐称が成功してしまった…。 DoCoMoのユーザIDの信頼性が地に落ちた瞬間です。 2007-03-01追記)DoCoMoスゲー!昨日は確かに上記の方法で詐称できたのに、今日はもう既に対策されとるし(^^; 今、同じことを試すと以下のメッセージが出るのみでした。 IPサイトの記述に誤りがある
そのファイルがウイルスなのかを調べる「WhatIsThatFile.com」
怪しいファイルの素性を調べることができます。 Whatisthatfile.com It's good to be sure... http://www.whatisthatfile.com/ ファイル名を入れるだけ。タスクマネージャから見えるプロセス名を入れるとわかりやすいです。説明文は英語ですが、緑色の背景なら問題なし。 赤い色の背景になれば何か危険なファイルです。 同じ感じでプロセスの正体を調べるサイト。 ProcessLibrary.com - The online resource for process information! http://www.processlibrary.com/ ファイル拡張子辞典 http://www.filext.com/
アップロード可能掲示板(いわゆるあぷろだ、ファイル置き場)を設置していると、誰かが著作権法違反をする以外にも犯罪に巻き込まれてサーバを押収されることがある - 駄文待避所
(2.27追記) 当時の状況が少し分かりました。2.27の記事もご覧ください。画像をちょっと貼られたくらい、という認識は激甘でした。 (2.26追記) 以下の文章は2007/2/24に書いたものでありますが、当日の動揺と、自分のミスを認めたくない気持ちが入り混じって不正確、不明瞭な点があります。管理が行き届いていない自宅サーバの危険性と、アップローダーを放置することの危険性についても混ざってしまっているので追記により修正する予定です。消すことはしません。 これを読んだ自宅サーバーを立てている人、ファイルアップローダーを設置している人は今すぐ自分の管理状況を見なおしてください。お願いします。 家宅捜索されました。マジに。 結論からいうと、自分がある2chのスレのために3年前くらいに自宅サーバに提供していたあぷろだに、海外で不正アクセス事犯で捕まった被疑者が何かの画像(恐らくイスラム教関係、ら
携帯業界の認証事情 - y-kawazの日記
巡回サイトの一つである高木浩光@自宅の日記で以下のようなエントリーがあった。 高木浩光@自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのか ここではいつもの高木氏の口調で、「携帯向けWEBアプリ開発では未だにGETパラメータでセッションIDを渡しており、それはこれまでも何度もいかんことだと言っている。」というような内容が語られている。 確かにWEB+DBの記事に対して高木氏が注釈で言っているように「IPアドレスによる制限に関して書いていない」という点に関してはWEB+DB側の落ち度だと思う。実際これを行わない限り端末IDやユーザID*1による認証が意味をなさなくなってしまうからだ。*2 但し、キャリア毎にIPアドレス制限をする限りにおいては端末IDやユーザIDは偽装不可能*3なので、むしろ他人でも入力可能なパスワード認証よりも強力な認証かもしれません。逆にいえばその認
オープンソース手法で開発される各種マルウェアについて
マカフィーがセキュリティ研究誌「Sage」(「サゲ」ではなく「セージ」と読むそうです)を創刊。PDFで配布されており、ダウンロードは無料。創刊号の内容がかなり充実しており、以下のような感じです。 ■悪用された善意: マルウェアの裏社会においてオープンソースの原理がどのように脅威の進化に役立っているか。 ■すべてを変えた金銭的な動機: 金銭的動機や、オープンソースの実践が、マルウェアの特性や品質をどのように変貌させたか。 ■精巧さが求められるbot開発: プロ並みの開発手法がこの特定のマルウェアにもたらしている影響、プロ並みの開発手法が意味するものや問題の検証。 というわけで、なかなか興味深い内容が並んでいます。ウイルスの歴史とかはかなり上手にまとまっているので、必読。ダウンロードは以下から。 AVERT Labs 刊行物 「Sage」と書いてある画像をクリックすると「個人情報保護について」
【PHPカンファレンス2006】PHPで書かれた実際のアプリケーションに潜む危険なコード
「(PHPで書かれたアプリケーションには)アバウトなコードが多い」。エレクトロニック・サービス・イニシアチブの大垣靖男社長は,2006年8月19日に開催されたPHP関連イベント「PHPカンファレンス2006」の講演「危険なコード」で,PHPで書かれたアプリケーションに存在する危険なコードを指摘した。講演の中では,実際に存在するアプリケーションの名前を出し,そのソースコードからセキュリティ上危険な個所を挙げていった。「安全なコードを書くには悪い例も知っておかなければならない」というのが同氏の主張である。 大垣氏はまず,「セキュリティのリスクはサブシステムとの境界の部分で発生する」と指摘した。サブシステムとは,データベース,メール・システム,ユーザーのWebブラウザといった外部のシステムのこと。「境界で入力時にきちんとバリデーション,出力時にきちんとエスケープ処理(フィルタリング)を行えば,か
パスワード、記憶に頼っていて大丈夫? ― @IT
パスワード、記憶に頼っていて大丈夫? ~パスワード作成と管理~:ツールを使ってネットワーク管理(13)(1/5 ページ) サーバやルータなどの管理するマシン、アプリケーション……多数のパスワードを管理しなくてはならない管理者の律子さんは、パスワード記憶許容量をオーバーしそうです。 パスワード、どうやって覚えてる? 律子さんは管理者という仕事柄、サーバやルータなど管理するマシンの分だけ(実際にはアプリケーションのパスワードなどを考えるとそれ以上になるのですが)パスワードを管理しています。 いまのところ記憶に頼っているのですが、管理するパスワードが増えてきたり、まめに変更したりしていることもあって、最近どうにも覚えが悪くなっています。そして、一度覚えたはずのパスワードを忘れていて、慌てて台帳を見に行くことも多くなっています(律子さんの会社ではパスワードは台帳に記入されて鍵の掛かるロッカーに保管
SNSがXSS攻撃の格好の標的に――F-Secure
MySpaceを狙った攻撃が相次いだことを受け、F-Secureがほかの人気SNSを調べたところ、ワーム作成に利用できる脆弱性が幾つも見つかったという。 人気ソーシャルネットワーキングサイト(SNS)のMySpaceを標的とした攻撃が相次いで浮上する中、セキュリティ企業のF-Secureは、ほかのSNSにもこうした攻撃に悪用されかねない脆弱性が多数存在すると報告した。 F-Secureによると、Webサイトに存在するクロスサイトスクリプティング(XSS)の脆弱性を突いたWebアプリケーションワームが、新手のマルウェアとして浮上。SNSが格好の標的になっており、MySpaceを標的としたワームは既に2件出現しているという。 このうち昨年10月に問題になった「Samy」はMySpaceで勝手に友達を増やしてしまうワーム。数日前に登場した「Flash」ワームはFlashの脆弱性を突いて、ユーザー
メールアドレスの登録チェックが、余計なお世話に?
星野君の会社では7月に人事異動が行われた。その結果、星野君は、いままでいた7階のWeb担当チームから6階の技術担当で新設されたセキュリティグループへと移ることになった。とはいっても、星野君がWeb担当で行っていた仕事をセキュリティグループで行うという形になっただけで、仕事の内容がまったく変わるというわけではなかった。 高橋さん 「あ、赤坂さん。それ、始めるのもうちょっと待ってね。お客さんからの連絡待ちになってるから」 赤坂さん 「はーい」 セキュリティグループは、高橋さんがリーダーでほかに数名という小さなグループだ。その中に赤坂さんもいる。 Web担当にいたころもうすうす気付いてはいたが、高橋さんがほとんど席にいなかったのは主に技術担当のフロアで仕事をしていたからだったようだ。さすがに星野君も1日の大半の時間を喫煙所で過ごしているといううわさはおかしいと思っていた。事実、技術部門へ席が移っ
Ajaxの特徴に潜むリスクをサンプルアプリで確認しよう ― @IT
第1回 Ajax技術の目に見えない通信内容をのぞいてみようでは、Ajaxの技術背景を解説しました。今回は、「セキュリティ」という観点でAjaxを見ていきたいと思います。 2回目の今回は、非常に幅広く、奥が深い「Ajaxの特徴に潜むセキュリティリスク」を、実際のサンプルアプリケーションの通信や、マウスの動きを動画で見ながら、理解しましょう。スパイウェアやキーロガーへの基本的な対策も解説します。 通常のWebアプリと異なるAjaxの特徴に潜むリスク 「Ajaxのセキュリティ」といきなりいっても、『Ajaxとはいえ、単なるWebブラウザで動作するアプリケーションなのだから、これまでのWebアプリケーションのセキュリティとあまり変わらないのでは?』と予想される方も多いでしょう。確かに、Webアプリケーションとして注意すべきセキュリティのポイントは、Ajaxにおいても共通して当てはまると考えて問題あ
自社のセキュリティ対策を他社と比較する
自社の情報セキュリティ対策が、他社と比較してどのようなレベルにあるのかを確認することは、自社の対策を客観的に評価する手法の1つとして有益である。これをどのように行うことができるかを紹介する 自社のリスク分析・評価手法に基づいて、経営者が許容できる残留リスクレベルの意思決定を行い、情報セキュリティ対策のレベルを主体的に定めることを、前回の「情報セキュリティ対策レベルの決め方」で紹介した。その中で、他社のセキュリティレベルとの相対比較による確認を行う手段として「情報セキュリティ対策ベンチマーク」が有効であることに触れた。 今回は、このベンチマークの活用法について具体的に解説しよう。 情報セキュリティ対策を他社と比較する目的 最初に、情報セキュリティ対策を他社と比較することの目的を整理しておこう。 第1の目的は、他社と比較して自社の位置を確認することであり、自社の取り組みが妥当であるかどうかの目
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
携帯で端末ID詐称は可能かもしれない話
安全と思われていて実は危険なソフトウェア15種、米Bit9がリストアップ