PHP と Web アプリケーションのセキュリティについてのメモ
このページについての説明・注意など PHP は、Apache モジュールや、CGI、コマンドラインとして使用できるスクリプト言語です。このページでは、主に PHP における、Web アプリケーションのセキュリティ問題についてまとめています。 Web アプリケーションのセキュリティ問題としては、以下の問題についてよく取り挙げられていると思いますが、これらのセキュリティ問題について調べたことや、これら以外でも、PHP に関連しているセキュリティ問題について知っていることについてメモしておきます。 クロスサイトスクリプティング SQL インジェクション パス・トラバーサル(ディレクトリ・トラバーサル) セッションハイジャック コマンドインジェクション また、PHP マニュアル : セキュリティや、PHP Security Guide (PHP Security Consortium) には、PH
Immortal Session の恐怖 : 404 Blog Not Found
2007年11月29日07:15 カテゴリ書評/画評/品評 Immortal Session の恐怖 さすがの私も、今夜半の祭りにはmaitter。 私のtwitterが荒らされていたのだ。 荒らし発言は消してしまったが、にぽたんがlogを残してくれている。 nipotumblr - Dan the cracked man 一部で言われているように、本当にパスワードが抜かれたかどうかまでは解らない。が、状況としてはnowaがベータテスト段階で持っていたCSRF脆弱性をついた荒らしにそっくりだった。 にぽたん無料案内所 - こんにちはこんにちは!! この時も、私のnowaのメッセージに荒らしが入った。パスワードを変更しても暫く荒らしが続いていた点も似ている。 ここでの問題は、 bulkneets@twitter曰く(直接リンクは避けます) 問題は本人が気付いてもパスワード変えてもセッション残
いや、復号はできないでしょう : ひろ式めもちょう
たぶんわかって書いてるんだと思うけど、自分のために思考整理。 ブログが続かないわけ | MD5は復号できる!? http://en.yummy.stripper.jp/?eid=719489 Digest::MD5::Reverseは、あくまで 「おなじハッシュ値をもつデータを引っ張ってくる」 だけで別に復号できるわけじゃないよね。 元データ:a に対して、 aのハッシュ値:f(a) だとすると、 f(a) = f(b) となる 別のデータ:b を出してくると(※もちろんa=bの可能性もある)。 ただし、ハッシュ関数の特性として実用的な時間内にbを算出するのは難しいので、一種のブルートフォースを行えるようあらかじめデータベースに ハッシュ値:データ の表を蓄積している、と。やり方としてはMD5以前にDESでパスワード保存していたころのcrackとあんまかわらない。 「こういうものがあると
freeml(フリーエムエル)|新しい生活をはじめる羅針盤
住まい 住宅ローン 引越し 暮らし 電気・ガス インターネット ウォーターサーバー 将来に備える 不動産投資 学資保険 投資信託 積立NISA ライフスタイル お酒 グルメ ビューティー アウトドア freeml(フリーエムエル)は、「時代と生活の変化」に対し、「free & meaningful life」のコンセプトのもと、 「新しい生活をはじめる羅針盤」となるような情報メディアを目指しております。「住む場所を探し」「生活インフラを整え」「将来の準備をする」… 生活の中には多くの選択肢が存在し、ひとつひとつの選択の積み重ねによって、よりfree(開放的)でmeaningful(有意義)な生活が形成されていきます。専門家の方々のご協力を交えた当サービスの情報が、届いた方の「よりお得な」「より自分にあった」「より納得のいく」選択に繋がればと願っております。
「AjaxなどのWeb 2.0技術はクロスサイト・スクリプティングに最適」---米ImpervaのCTO
「Web 2.0はセキュリティ上の危険が高い。そのリスクを回避するためには,技術面やコスト面から現実的な対策を考えるべきだ」---。不正なWebアクセス/DBアクセスを防御する機器「SecureSphere」の開発会社,米ImpervaでCTO(最高技術責任者)を務めるAmichai Schulman氏は2007年4月27日,東京エレクトロンデバイスが開催したユーザー・セミナー「Web 2.0のセキュリティ・リスクと回避法」で講演した。 Amichai Schulman氏: “Web 2.0”という次世代のWeb利用方法が広まっている。Web 2.0は情報システムを便利にしてくれるが,その半面,セキュリティ上のリスクも広がってしまうという側面がある。情報システム部門は,Web 2.0によって引き起こされるリスクを知るとともに,このリスクを回避しなければならない。リスクの姿と対処方法を示そう
おさかなラボ - 人間様には見えなくて、spamボットには見える不思議なCAPTCHA
それは偶然発見した。なんとGmailのパスワード入力画面にもちゃんと歪んだ画像CAPTCHAが実装されているのだ。しかもほとんどのボットに見え、ほとんどの人間に見えないCAPTCHAである。ちょっとした工夫でCAPTCHAの欠点を補い、利点を生かしているのだ。見つけた時、思わず拍手してしまった。 事の始まりはこうだ。さっき、Gmailにログインしようとしたら、以下のようなエラーが出た。 平凡なエラーだ。しかしまずいことに、2度目、3度目も間違えた。そこでふと「Gmailは何回くらいでアカウントがロックされるんだろう」という疑問が湧いた。そもそも自分には、ブルートフォースアタックに対抗するにはアカウントロックしかないと考えていた。 するとなんと、10回目のミスで、次の画面が現れたのだ。 アカウントがロックされる代わりに、突然CAPTCHAが現れた。 つまりこうだ。パスワードを10回
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
インストールメモとか備忘録など
Rauru Blog » Blog Archive » MD5破りにGoogleを活用