画像ファイルに PHP コードを埋め込む攻撃は既知の問題
(Last Updated On: 2015年9月10日)国内外のメディアで「画像ファイルに攻撃用のPHPコードが含まれていた」と比較的大きく取り上げられています。しかし、この攻撃手法は古くから知られていた方法です。条件は多少厳しくなりますがPerl, Ruby, Pythonでも同様の攻撃は考えられます。PHPの場合は言語仕様的に他の言語に比べ攻撃が容易です。 典型的な攻撃のシナリオは次の通りです。 追記:Tokenizerを使った例に修正しました。 アバダなどの画像ファイルをアップロードできるサイトを探す ローカルファイルインクルードバグを探す 画像ファイルにサイトが利用している言語のコードを埋め込む 攻撃コードを含んだファイルを画像ファイルとしてアップロードする ローカルファイルインクルードバグを利用して攻撃コードを実行する PHPの場合、リモートインクルードバグを攻撃するための攻撃
3-1. 危険なクラスたち
Java のクラスライブラリには豊富な機能が揃っている。規模の大きなソフトウェアを開発する際は,これらの強力な機能を乱用・誤用するコードが混入して,データの機密が損なわれたりシステムのコントロールが奪われたりしないよう注意する必要がある。 Java のクラスライブラリは充実している。J2SE(Java 2Platform Standard Edition)1.3 のSDK(ソフトウェア開発キット)のコアパッケージに用意されているものだけでも,80以上のパッケージに含まれる1800以上のクラスおよびインタフェースが備わっている(リスト1)。J2SE 1.4にいたっては,いくつかの拡張パッケージが標準として取り込まれたこともあり,クラスとインタフェースの数の合計は2700 を越えている。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
