もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem's blog
たにぐちまことさんの書かれた『よくわかるPHPの教科書(以下、「よくわかる」)』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。 4.2 入力処理とセキュリティ 「よくわかる」のサンプルや解説では、入力値検証はほとんどしていません。しかし、入力値検証をしていないからといって即脆弱かというとそうではありません。徳丸本でも強調しているように、入力値検証はアプリケーション要件(仕様)に沿っていることを確認するもので、セキュリティ対策が目的ではないからです。 「よくわかる」の中で、私が見た範囲で唯一の入力値検証は、郵便番号のチェックをするものです。以下に引用します(「よくわ
【緊急リリース】OpenPNE 3 に存在するセッション管理の不備に関する複数の脆弱性のお知らせ|OpenPNE
OpenPNE 3 には、セッション管理の不備に関する複数の脆弱性が存在します。 本日(12/8)、この問題の対策版として OpenPNE 3.0.8.2, 3.2.7.3, 3.4.9.1, 3.6beta7 のリリースをおこないましたので、内容を確認のうえバージョンアップまたはパッチの適用をお願いいたします。 本問題について 影響を受けるシステム 3.0.8.1 以下、 3.2.7.2 以下、 3.4.9 以下、 3.6beta6 以下の OpenPNE を使用しており、以下のどちらかまたはすべての条件を満たしているサイト。 1. セッションストレージにデータベースを設定している 2. 他の OpenPNE 3 とセッション保存先を共有している ※OpenPNE 2 を使用しているサイトは影響を受けません。 概要 OpenPNE のセッション管理が以下に説明するように不適切であったため
ぼくがPDOを採用しなかったわけ(Shift_JISによるSQLインジェクション)
補足 この記事は旧徳丸浩の日記からの転載です。元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2。 備忘のため転載いたしますが、この記事は2010年7月1日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり PHPのデータベース・アクセス・ライブラリPDOは、DB接続時の文字エンコーディング指定ができないため、文字エンコーディングの選択によっては、プレースホルダを使っていてもSQLインジェクション脆弱性が発生します。 追記(2011/06/19) ここに来て急にブクマが追加されはじめていますが、このエントリを書いてから状況が改善しています。PHP5.3.6(2011/03/17)にて、PDOでもデータベース接続の文字エンコーディングを指定できるようになりました。この版で、UNIX版のPHPでは解決しましたが、Win
phpspot製品にディレクトリトラバーサルの脆弱性
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は9月18日、複数のphpspot製品にクロスサイトスクリプティング(XSS)やディレクトリトラバーサルの脆弱性が存在すると公表した。 phpspotが提供する「PHP掲示板」「PHP画像キャプチャ掲示板」「PHP&CSS掲示板」「PHP掲示板CE」「PHP_RSS_Builder」「webshot」のうち、2009年9月14日以前に配布されていた製品が該当する。 この問題が悪用されると、遠隔地の攻撃者にサーバ内の任意のファイルを閲覧されたり、ユーザーのブラウザ上で任意のスクリプトを実行
「セキュアなPHPアプリケーションを作成するための7つの習慣」のサンプルがとんでもなく酷い - ockeghem's blog
はてブで250以上のブックマークを得ている以下のエントリ。 PHP アプリケーションを作成する際には、可能な限りセキュアなアプリケーションにするために、次の 7 つの習慣を守る必要があります。 入力を検証する ファイルシステムを保護する データベースを保護する セッション・データを保護する XSS (Cross-Site Scripting: クロスサイト・スクリプティング) の脆弱性から保護する フォームへの投稿を検証する CSRF (Cross-Site Request Forgeries: クロスサイト・リクエスト・フォージェリー) から保護する ほう。しかし、内容はどうだろうか。 読んでびっくりした。説明も微妙なところが多いが、サンプルが酷い。こんなサンプルでは悪い習慣が身についてしまう。全部は書ききれないと思うので、目についたところからピックアップして紹介する。 パストラバーサル
書籍「はじめてのPHPプログラミング基本編5.3対応」にSQLインジェクション脆弱性 - 徳丸浩の日記(2008-10-29)
id:hasegawayosuke氏にそそのかされるような格好で、「はじめてのPHPプログラミング基本編5.3対応」という書籍を購入した。 本書は、ウノウ株式会社の下岡秀幸氏、中村悟氏の共著なので、現役バリバリのPHP開発者が執筆しているということ、下記のようにセキュリティのことも少しは記述されているらしいという期待から購入したものだ。 目次から抜粋引用 07-07 Webアプリケーションのセキュリティ [セキュリティ] 08-04 データベースのセキュリティ [SQLインジェクション] 09-13 セキュリティ対策 [セキュリティ] 本書をざっと眺めた印象は、「ゆるいなぁ」というものであるが、その「ゆるさ」のゆえんはおいおい報告するとして、その経過で致命的な脆弱性を発見したので報告する。 問題の報告 それは、本書P280に登場する「SQLインジェクション対策用の関数(dbescape)」
絶対に公開してはいけないPHPプログラミング
絶対に公開してはいけないPHPプログラミング ネタ元:AjaxMail:Ajaxを活用したフリーPHPメールフォーム これはひどいのに誰もつっこみを入れていないので、ツッコミを入れておきます。 セキュリティーフィックスされたました。 AjaxMailを利用しているサイトはスパムメールの踏み台にされます。 送信プログラムであるsendmail.phpの 150行目でPOSTで受け取ったアドレスをそのまま変数に入れて、 $reto = $_POST['email']; 168行目で直接メール関数に利用している。 if($remail == 1) { mail($reto,$resbj,$rebody,$reheader); } ありえない。 mail関数の第一引数には送信先のメールアドレスを設定できるのですが、カンマ区切りで複数のメールアドレスが指定できます。 リターンメールの性質上、リファラ
第10回 スクリプトインジェクションが無くならない10の理由 | gihyo.jp
SQLインジェクション対策は非常に簡単です。しかしブラウザに対する「スクリプトインジェクション」はなかなか無くなりません。スクリプトインジェクションが無くならない10の理由をあげてみます。 複雑な攻撃経路と対策 前回紹介したように、ブラウザに対するスクリプトインジェクション攻撃の経路は3種類あります。エスケープ方法も数種類あります。すべての出力を完全にエスケープできればセキュリティ維持も容易になりますが、タグや属性を出力したい場合もあるため、必ずしもすべての出力をエスケープできるわけではありません。さらに攻撃手法にも、サイトをまたがった攻撃、直接攻撃、間接攻撃などパターンがあります。エスケープできないデータへの不正なスクリプトの挿入を防ぐには、データの起源までさかのぼり安全性を確保しなければなりません。ブラウザに対するスクリプトインジェクション対策はデータベースサーバへのSQLインジェクシ
(Microsoft PowerPoint - PHP\202\306\203Z\203L\203\205\203\212\203e\203B.pptx)
PHPとセキュリティ 「Month of PHP Bugs」から考察する PHPのセキュリティ問題と課題 エレクトロニック・サービス・イニシアチブ 大垣 靖男 yohgaki@ohgaki.net / yohgaki@php.net yohgaki@postgresql.jp / yohgaki@momonga-linux.org 自己紹介 • 氏名:大垣 靖男 (Yasuo Ohgaki) • 会社: エレクトロニック・サービス・イニチアチブ 有限会社 • 著作: 「Webアプリセキュリティ対策入門」 「はじめてのPHP言語プログラミ ング入門」「PHPポケットリファレンス」、雑誌記事など • ブログ: http://blog.ohgaki.net/ • メール:yohgaki@ohgaki.net • オープンソース• オープンソース – PHPプロジェクト – MomongaLin
[セキュリティ]画像へのPHPコマンド挿入 ― T.Teradaの日記
だいぶ時間がたってしまいましたが、大垣さんの以下のブログにコメントしたことなどをまとめます。 画像ファイルにPHPコードを埋め込む攻撃は既知の問題 – yohgaki's blog アップロード画像を利用した攻撃についてです。 攻撃の概要 画像ファイルにPHPコマンドを挿入する攻撃は、大きく2種類に分けることができます。 1つは、画像のアップロード機能を持つサイト自身を狙う攻撃です。PHPで開発されており、任意の拡張子のファイルのアップロードを許すサイトでは、拡張子がphpなどのファイルをアップロードされる恐れがあります。 拡張子がphpなどのファイルに仕込まれたPHPコマンドは、そのファイルにHTTP/HTTPSでアクセスされた際に実行されます。攻撃者は、アップロードファイルを通じて、画像が置かれるWebサーバ上で任意のコマンドを実行することできます。 この脆弱性は、アップロード可能なフ
PHPの安全性確保に役立つ情報
PHP開発者のStefan Esser氏が,3月にPHPのバグを公表し続けた活動「Month of PHP Bugs(PHPバグ月間)」をご記憶だろうか。PHPバグ月間によって公開されたバグの総数は41件だった。この活動を監視していた米SPI Dynamicsの上級研究開発エンジニアであるJeff Forristal氏が,バグ月間の総括と分析を提示している(関連記事:Month of PHP Bugs: Mid-month analysis(英語))。 Forristal氏の記事には,執筆時点で公開されていたバグの潜在的な影響について,興味深い情報が書かれている。なかでも注目に値するのは,自身のサーバー上で,他者(サード・パーティ)がPHPベースのスクリプトをアップロードして実行することを許可しているユーザーに,サーバー・セキュリティ上の深刻な問題をもたらす可能性がある2つのバグだ。For
PHPアプリの脆弱性をつくボット? - Blog::koyhoge::Tech
私が管理しているWebサーバのログに、PHPアプリの脆弱性を狙ってアクセスしてきているらしいボットの形跡がありました。約1秒の間に、以下のURLを連続してGETしています。 /a1b2c3d4e5f6g7h8i9/nonexistentfile.php /adxmlrpc.php /adserver/adxmlrpc.php /phpAdsNew/adxmlrpc.php /phpadsnew/adxmlrpc.php /phpads/adxmlrpc.php /Ads/adxmlrpc.php /ads/adxmlrpc.php /xmlrpc.php /xmlrpc/xmlrpc.php /xmlsrv/xmlrpc.php /blog/xmlrpc.php /drupal/xmlrpc.php /community/xmlrpc.php /blogs/xmlrpc.php /blog
サービス終了のお知らせ
平素より「PHPプロ!」をご愛顧いただき、誠にありがとうございます。 2006年より運営してまいりました「PHPプロ!」ですが、サービスの利用状況を鑑みまして、2018年9月25日(火曜日)をもちましてサービスを終了させていただくことになりました。 サービス終了に伴いまして、2018年8月28日(火曜日)を持ちまして、新規会員登録ならびにQ&A掲示板への新たな質問、回答の投稿を停止させていただきます。 なお、ご登録いただいた皆様の個人情報につきましては、サービス終了後、弊社が責任をもって消去いたします。 これまで多くの皆様にご利用をいただきまして、誠にありがとうございました。 サービス終了に伴い、皆様にはご不便をおかけいたしますこと、心よりお詫び申し上げます。 本件に関するお問い合わせはこちらよりお願いいたします。
PHP最新版のRPMを提供するサービス,Suhosin適用のセキュリティ強化版も
アシアルは,PHPでアプリケーションを開発する会社向けのサポート・サービス「PHPトータルサポートサービス」を開始した。PHP最新版のRPMを提供するほか,セミナー,PDFによるオンラインマガジン「PHPプロ!」を含む。 最新版のRPMは,通常のPHPのほか,PHPのセキュリティを強化するSuhosinパッチを適用したものを提供する。対象ディストリビューションはRed Hat Enterprise Linux v.4 (i386版),CentOS 4 (i386版)。現時点でのPHPのバージョンは5.2.1および4.4.6。 セミナーは月1回程度開催しており,オンラインマガジン「PHPプロ!」は年4回発行している。 「PHPトータルサポートサービス」の価格は6カ月3万5000円,年間6万0000円。
T.Teradaの日記 HTML Purifierを試した
Webメールでは、受信したHTMLメールのタグを残して、クライアントサイドスクリプト(JavaScriptなど)のみを除去するサニタイズ処理を行ないます。 このようなスクリプト除去処理は、Blog、掲示板などでも行なわれる、比較的ポピュラーなものであるため、それ用のライブラリがいくつか存在します*1。 HTML Purifierもその一つです。PHP4/5で動作します。バージョン1.0.0のリリースは2006年9月ですから、比較的新しいものです。私は昨年末に初めて触ってみました(バージョン1.3.2です)。 これまでのものと比べて、非常によく出来ているなと思いましたので、日記に書いてみます。 HTML Purifierの概要 特徴としては、以下が挙げられると思います。 ユニコード対応 UTF-8のHTMLに対応(既存のライブラリの多くはlatin1を暗黙の前提としていました)。EUC-JP
PHPエクステンションで関数をチェック、アシアルがWebアプリ脆弱性の検査ツール
アシアルは、Webアプリケーションの脆弱性を検査するセキュリティスキャナ「Chorizo!」の提供を開始した。 アシアルは4月10日より、Webアプリケーションの脆弱性を検査するセキュリティスキャナ「Chorizo!」の提供を開始した。アプライアンスもしくはASPサービスとして提供される。 Chorizo!は、クロスサイトスクリプティングやSQLインジェクション、コードインクルージョンといったWebアプリケーションに特有の脆弱性を検査し、レポートするツール。プロキシサーバとして動作し、Webブラウザに統合された形で利用できるため、ブラウズしながらセキュリティテストを実施できる点が特徴だ。 「無償版」と「商用版」の2種類があり、無償版では検査対象となるホスト数に限定があるが、基本機能が利用できる。一方商用版では、スキャンの履歴/解析や解決方法のアドバイスといった機能が加わるほか、PHPエクス
the Month of PHP Bugs開始
(Last Updated On: 2018年8月16日)“the Month of PHP Bugs”が始まりました。できるだけ多くの方が読めるように、Stefanさんの承諾を得て、日本語訳を公開します。「the Month of PHP Bugs」カテゴリがMoPBの翻訳ページになります。 https://blog.ohgaki.net/tag/mopb まずはトップページから翻訳します。分かりやすいように意訳できる部分は意訳します。厳密に原文の通り訳していないので正確性を重視される方は原文をご覧ください。念の為に記載します。私はPHPプロジェクトのコミッタですがHardened-PHP ProjectおよびMonth of PHP Bugsには関係がありません。日本のPHPユーザが置き去りにされないよう日本語訳を公開しているだけです。 誤訳、間違い、タイポなどがあった場合、指摘してい
PHPの「守護神」Suhosin
PHPは,数え切れないほどのWebサイトで使われている非常に有名なプログラミング言語である。基本的にはスクリプト言語であり,実行時にコンパイルされる。PHPは非常に多くのコミュニティによって支えられており,様々な機能を提供する膨大な数のオープン・ソース・ライブラリが公開されている。「WordPress」といった人気アプリケーションも,PHPで記述されている。ただし,PHPにもセキュリティの問題は存在する。 PHPのセキュリティ問題は,長年にわたって多くの開発者が問題の修正に取り組んできた。しかし,常に迅速な対応が行われてきたわけではなく,被害を受けるユーザーも存在した。2006年末には,PHP開発者のStefan Esser氏が,この状況に嫌気がさして,PHP Security Response Teamを辞任した。 Esser氏は自身のブログで,「(辞任した理由は)いくつかあるが,最も決
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
CrackLib @ DeveloPlus
http://diary.sa-ga.jp/anubis/blog_show/88