日経Linux2013年1月号に「“誤認逮捕”から利用者を守るWebサイト構築法」という記事を書きました
前に、「なりすまし犯行予告に悪用可能なWebアプリケーション脆弱性」というエントリで、なりすまし犯行予告に開くよう可能なWebアプリケーションへの攻撃手法として以下の5種類を挙げましたが、このテーマに関して、日経Linux2013年1月号に「“誤認逮捕”から利用者を守るWebサイト構築法」という記事を書きました。 CSRFXSSHTTPヘッダインジェクションクリックジャッキングDNSリバインディング今回の寄稿では、上記の原理と対策について書いています。紙の雑誌となりますが、よろしければお読み頂ければと思います。 また、この記事のコラムとしてTorの解説があります。編集部からは当初、徳丸自身が書くか、誰か適当な方を紹介して欲しいという要求でしたが、迷うことなく北河拓士さん(@kitagawa_takuji)に寄稿を打診したところ、快諾をいただきました。このコラム「暗号化の“皮”を重ねて匿名性
[PHP]CVE-2012-1823に関する暫定メモ
追記:より詳細の報告を公開しましたのでそちらを参照下さい CGI版PHPにリモートからスクリプト実行を許す脆弱性(CVE-2012-1823) 追記終わり。 【概要】 PHP5.4.2で修正された脆弱性だが、直っていない。CGI版のみが影響を受ける。mod_phpやFastCGIによるPHP実行の場合影響なしとされる。 【影響】 ・PHPの実行時オプションが外部から指定されるその結果として以下の影響がある ・リモートのスクリプト実行(影響甚大) ・PHPソースの表示 【影響を受けるサイト】 ・PHPをCGIとして実行しているサイト(FastCGIは大丈夫らしい) 【回避策】 ・PHP本家の改修リリース(5.4.2など)は不十分な対策(PHP5.4.2でもリモートコード実行できることを確認済み) ・mod_rewriteによる回避策も不十分らしいが情報不足 ・FastCGIまたはmod_ph
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
