symfony1.0.Xにおいてurl_forヘルパーのXSS脆弱性の可能性 - モノノフ日記
symfonyにはrouting.ymlでの設定名を利用してサイト内のURLを返してくれるurl_forというヘルパー関数がありますがXSS脆弱性らしきものを見つけたので共有がてら書き留めておきます。 XSSが起こるケースはurl_forの第2引数にtrueを指定して絶対パスを返すようにしているときに起こります。バージョンはsymfony1.0.21PRE、ブラウザはIE7で確認しました。 再現方法はtelnetでsymfonyで実装していて url_for('@foobar', true) を使っているページに下記のようにアクセスします。ここでは例としてexample.comの/foo/id/1というURLにアクセスしています。 $ telnet telnet > open example.com 80 Trying 192.168.1.1... Connected to example
第44回PHP勉強会に参加しました。 – ねこげっとぷれす
ねこげっとぷれす NEKOGET PNESKINの開発等PHPな話題を中心に書いていこうと思います。 メニューとウィジェット 第44回PHP勉強会に参加しました。 http://events.php.gr.jp/events/show/81 今回は発表もさせていただきました。 Google Docsでうまくいかなかったので、FLASH PAPERで資料です。 次のページ、前のページボタンが右側の>>に隠れています。slideshareに登録のほうが良いかなぁ? handsoutにファイルをアップしなおしました。 参考URL ■CIUnit http://www.foostack.com/foostack/ ■phpUnitPHPUnitポケットガイド http://www.m-takagi.org/docs/php/pocket_guide/ ■PHPUnit3ではじめるユニットテスト
Poedit Translation Editor — Poedit
Poedit Easy translation of apps & sites with PO, XLIFF, JSON or Flutter formats Full gettext support. And then some. Poedit was built to handle translation using gettext (PO), which is used by many PHP projects (Drupal, WordPress), Python projects (Django), or virtually anything running on Linux. Lost in translation? Not with Poedit. With comprehensive safety checks, a minimal and intuitive interf
mod_proxy_httpとmod_proxy_ajpとmod_jk — ありえるえりあ
Recent entries Apache2.4のリリース予定は来年(2011年)初め(あくまで予定) inoue 2010-12-23 Herokuの発音 inoue 2010-12-20 雑誌記事「ソフトウェア・テストPRESS Vol.9」の原稿公開 inoue 2010-12-18 IPA未踏のニュース inoue 2010-12-15 労基法とチキンゲーム inoue 2010-12-06 フロントエンドエンジニア inoue 2010-12-03 ASCII.technologies誌にMapReduceの記事を書きました inoue 2010-11-25 技術評論社パーフェクトシリーズ絶賛発売中 inoue 2010-11-24 雑誌連載「Emacsのトラノマキ」の原稿(part8)公開 inoue 2010-11-22 RESTの当惑 inoue 2010-11-22 「プ
Slowloris HTTP DoS 攻撃について
ちょっと前に Apacheに新たな脆弱性発見 - スラッシュドット・ジャパン で紹介されていた脆弱性なんですけど・・・会社のお達しで各サービス毎に状況報告ってイベントがあったので、ちょいと脆弱性試験してました。そのまとめです。 Apacheに、DoS攻撃に繋がる脆弱性が新たに見つかったそうだ(本家/.記事より) この脆弱性は、これを利用したHTTP DoSツール「Slowloris」がリリースされたことから明らかになったとのこと。この攻撃ツールはApacheに不完全なリクエストヘッダーを送り続けるもので、Apacheが最後のヘッダが送られてくるのを待つ間、偽のヘッダを送ることで接続をオープンにし続け、Apacheのプロセスを一杯にさせるものだという。 脆弱性はApache 1.x、 2.x、 dhttpd、 GoAhead WebServer、そしてSquidにて確認されているが、IIS6
軽量データクラスタリングツールbayon - mixi engineer blog
逆転検事を先日クリアして、久しぶりに逆転裁判1〜3をやり直そうか迷い中のfujisawaです。シンプルなデータクラスタリングツールを作成しましたので、そのご紹介をさせていただきます。 クラスタリングとは クラスタリングとは、対象のデータ集合中で似ているもの同士をまとめて、いくつかのグループにデータ集合を分割することです。データマイニングや統計分析などでよく利用され、データ集合の傾向を調べたいときなどに役に立ちます。 例えば下図の例ですと、当初はデータがゴチャゴチャと混ざっていてよく分からなかったのですが、クラスタリングすることで、実際は3つのグループのデータのみから構成されていることが分かります。 様々なクラスタリング手法がこれまでに提案されていますが、有名なところではK-means法などが挙げられます。ここでは詳細については触れませんが、クラスタリングについてより詳しく知りたい方は以下の
nginxでreverse proxyしてslowlorisを防いでみる - なんか:かんがえて-6
Slowloris HTTP DoSというスクリプトが最近話題で、だれでもかんたんに、そんなに帯域も使わず、おもにapacheにDOSをかませます。 ためしに(自分のサーバに)かましてみたらカンタンでした。いにしえのSYN flood attackっぽい芸風な感じがします。 残念ながらapache系では、設定を追い込むとかのアプローチでは、なるべく被害を小さめにおさえるぐらいのことしかできないぽいです。猛烈ないたずら電話の被害に遭っているときに、かかってきたいたずら電話はなるべくすぐ切るようにしましょう! ぐらいの負け戦ですね。 リクエストをどう処理するかのツクリを狙われてる感じで、いまのapacheを使うかぎり対処はなかなか厳しいのですが、最近人気のロシアのnginxだと大丈夫みたいということで、組み合わせをためしてみました。 nginx (えんじん・えっくす) はwebサーバのソフトウ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://wordpress.rauru-block.org/index.php/1934