Pythonも危ない…
(Last Updated On: 2007年3月15日)MOPBでPHPのセキュリティホールばかり書いているので「PHP本体のコード、最低だね」と思われているかも知れません。他の言語でも「最低」なコードは探せば いくつでも見つかると思います。今日、full-disclosureに投稿された記事です。 Description: The source of python contain a various modules, the zlib module contain a minigzip tool, ( * minigzip is a minimal implementation of the gzip utility. ). Source error: the error was found in: – void file_compress(file, mode) because th
【PHPカンファレンス2006】PHPで書かれた実際のアプリケーションに潜む危険なコード
「(PHPで書かれたアプリケーションには)アバウトなコードが多い」。エレクトロニック・サービス・イニシアチブの大垣靖男社長は,2006年8月19日に開催されたPHP関連イベント「PHPカンファレンス2006」の講演「危険なコード」で,PHPで書かれたアプリケーションに存在する危険なコードを指摘した。講演の中では,実際に存在するアプリケーションの名前を出し,そのソースコードからセキュリティ上危険な個所を挙げていった。「安全なコードを書くには悪い例も知っておかなければならない」というのが同氏の主張である。 大垣氏はまず,「セキュリティのリスクはサブシステムとの境界の部分で発生する」と指摘した。サブシステムとは,データベース,メール・システム,ユーザーのWebブラウザといった外部のシステムのこと。「境界で入力時にきちんとバリデーション,出力時にきちんとエスケープ処理(フィルタリング)を行えば,か
プログラム等、内部の文字エンコーディングは決めておくべき
(Last Updated On: 2006年6月22日)あるMLでプログラム内部の文字エンコーディングは決めない事にしている、と言う意見を目にしました。プログラムを利用するシステムにより複数の文字エンコーディングがあるのでプログラム内部の文字エンコーディングを指定しない方が便利であることが理由だそうです。このような方針でも安全なプログラムは書けますが、セキュリティ上お勧めできない設計方針と思います。 2000年2月に公開されたCERTのXSS脆弱性問題の中でダイナミックページの文字エンコーディングは必ず指定する、と言う対策が書かれていますが、これと同様の理由でセキュリティ上の問題になってしまう場合があります。XSS問題としては文字エンコーディングを指定しない場合、ブラウザが文字エンコーディングを自動的に検出して表示する事になります。ブラウザが文字エンコーディングを自動検出すると、検出した
yohgaki's blog - これからのプログラムの作り方 - 文字エンコーディング検証は必須
(Last Updated On: 2016年3月3日)最近PostgreSQL、MySQL両方にSJISエンコーディングを利用している際のエスケープ方法の問題を修正がリリースされています。この件は単純に「データベースシステムにセキュリティ上の脆弱性があった」と言う問題ではなく「アプリケーションの作り方を変える必要性」を提起した問題です。 参考:セキュアなアプリケーションのアーキテクチャ – sandbox化 PostgreSQL、MySQLの脆弱性は特にSJIS等、マルチバイト文字に\が含まれる文字エンコーディングが大きな影響を受けますが、同類の不正な文字エンコーディングを利用した攻撃方法が他の文字エンコーディングでも可能です。例えば、UTF-8エンコーディングは1文字を構成するバイト列の最初のバイトの何ビット目までが1であるか、を取得してUTF-8文字として1バイト~6バイト必要なのか
ITmedia エンタープライズ:Perlの脆弱性は氷山の一角か
先週報告されたPerlの脆弱性はあまり注目されていないが、この脆弱性を抱えたまま忘れられているPerlスクリプトはたくさんあるに違いない。 先週、深刻な脆弱性が公表されたが、マスコミ、さらにはセキュリティ業界さえもこれにはあまり関心を寄せなかった。わたしとしては、これは本当に厄介な脆弱性だと思っている――特に、パッチを当てられないまま広範囲にわたって放置されると見られるからだ。 問題となっているプログラムは、至る所で使われているプログラミング言語「Perl」だ。Perlはスクリプト言語だ。スクリプト言語というと人によってとらえ方が違うが、ある種の仮想マシン(VM)でソースの形で解釈されることが主な特徴だとわたしは考えている。Perlはサーバ側のWebサイトプログラミングだけでなく、システム管理スクリプトにも幅広く使われているが、ここ近年はPHP、ASPなどのサーバ側スクリプト言語にかなり取
Cyclone
Cyclone is a safe dialect of C. Cyclone is like C: it has pointers and pointer arithmetic, structs, arrays, goto, manual memory management, and C’s preprocessor and syntax. Cyclone adds features such as pattern matching, algebraic datatypes, exceptions, region-based memory management, and optional garbage collection. Cyclone is safe: pure Cyclone programs are not vulnerable to a wide class of bugs
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
