Perl の Taint mode は話をややこしくする。。。?: 国民宿舎はらぺこ 大浴場
微妙に酔っぱらってるんで適当なこと書いちゃいそうですがまぁいいや。(この辺のノリがもう既に超テキトーw) 勝手に添削 - 日経ソフトウェア2007.03 (404 Blog Not Found さま) 高木のおじちゃんが何か言ってるけど、とりあえずいいや。`...` だって所詮「極端な例」に過ぎないし。 んで、Perl をあんまりよく知らなそうな高木さんだけに (っていきなりとんでもなくテキトーなこと言ってるなヲレ。。。嘘だったらゴメンナチャイw)、この記事に (っていうかあのサンプルに) 噛み付くのは無理も無いのですが、Perl の Taint mode について説明する場合にあの手の簡潔な例題を示さなあかんよーになるのは仕方がないところがあって、もちろん根本的には「せまんちっくなでざいん」を心がけることが重要なのは言うまでもないことなんだけんどもそんなことは大前提としてとりあえず Pe
勘違いしてたかも<Taint mode: 国民宿舎はらぺこ 大浴場
サニタイズ病はPerlのせいじゃないってば (おさかなラボ さま) なお、このtaintperlやPerlの-Tオプションを指定した場合、この手のブラックリスト方式のメタキャラクタ漏れによる脆弱性は発生しない(記号を削るという方式では汚染は除去されていないとみなされる)。 $a = $ARGV[1]; $a =~ s/\W//g; # 汚染されている $a =~ s/^([a-z]+)$//; $a = $1; # 汚染されていない というわけで、Perlでは、CGIというものが普及する以前から、 そのため、記号を全部削るという対策が普及しました。 のような対策は「言語として」推奨されていない(それでもそういう対策をしちゃう人は別問題として)。 ホントかな? ホントかな? 試しに、以下のスクリプトを書いてみましたよ。 #!/usr/bin/perl -T use strict; my $f
Perl - Taint mode の効果的な活用方法: 国民宿舎はらぺこ 大浴場
とりあえず、以前の記事を紹介しておいたほうがいいかな。 Perl の Taint mode は話をややこしくする。。。? 勘違いしてたかも<Taint mode 長くなってしまったので、記事内の目次を入れておきます。 議題 試行 Taint モジュール 汚染された値の洗浄 逆転の発想 あなたの意図することを言おう、自分が言っていることの意味を理解しよう 議題 で、今回のテーマは主に以下の 2つ。 Taint mode を XSS とかの予防に利用することはできないのか? ブラックリストだからダメで、ホワイトリストならば良い、ってのは正しいのか? 1. については、最初の記事で TB 飛ばした dankogai 氏の記事にそんなことが書いてあったから。 もちろんTaint Modeは銀の弾丸ではない。たとえばXSSなどに対しては効果は薄い。しかしそれを言えばuse strict;も銀の弾丸で
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
