『例えば、PHPを避ける』以降PHPはどれだけ安全になったか
この記事はPHPアドベントカレンダー2014の22日目の記事です 。 2002年3月に公開されたIPAの人気コンテンツ「セキュアプログラミング講座」が2007年6月に大幅に更新されました。そして、その一節がPHPerたちを激しく刺激することになります。 (1) プログラミング言語の選択 1) 例えば、PHPを避ける 短時日で素早くサイトを立ち上げることのみに着目するのであれば、PHPは悪い処理系ではない。しかし、これまで多くの脆弱性を生んできた経緯があり、改善が進んでいるとはいえまだ十分堅固とは言えない。 セキュアプログラミング講座(アーカイブ)より引用 「PHPを避ける」とまで言われてしまったわけで、当然ながらネット界隈では炎上を起こし、現在はもう少しマイルドな表現に変わっています(参照)。 本稿では、当時のPHPの状況を振り返る手段として、この後PHPのセキュリティ機能がどのように変化
安全なPHPアプリケーションの作り方2014
2. 徳丸浩の自己紹介 • 経歴 – 1985年京セラ株式会社入社 – 1995年京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当 – その後、企業向けパッケージソフトの企画・開発・事業化を担当 – 1999年から、携帯電話向けインフラ、プラットフォームの企画・開発を担当 Webアプリケーションのセキュリティ問題に直面、研究、社内展開、寄稿などを開始 – 2004年にKCCS社内ベンチャーとしてWebアプリケーションセキュリティ事業を立ち上げ • 現在 – HASHコンサルティング株式会社代表http://www.hash-c.co.jp/ – 独立行政法人情報処理推進機構非常勤研究員http://www.ipa.go.
ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策
既に報道されているように、ロリポップ!レンタルサーバーに対する改ざん攻撃により、被害を受けたユーザー数は8428件にのぼるということです。ここまで影響が大きくなった原因は、報道によると、(1)「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされた、(2)パーミッション設定の不備を悪用されて被害が拡大した、ということのようです。 29日夜の時点では、攻撃者の改ざん手法について「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされて「wp-config.phpの」の設定情報が抜き出されたと説明していたが、30日午後7時過ぎの説明で、この脆弱性が侵入経路となって同社のパーミッション設定の不備を悪用されたことが原因だったことを明らかにした。 「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備
iniscan·php.iniの設定ファイルをチェックして危険なポイントを洗い出し MOONGIFT
PHPは年々進化していて、それでいて過去のバージョンとの互換性もほぼ維持されています。しかしネットワークが進化する中で従来は使われていた設定が非推奨になっていることも少なくありません。 もしかするとWebサーバのPHPの設定が危険な状態になっているかも知れませんよ。それをチェックできるのがiniscanです。 iniscanはcomposerを使ってインストールします。まずはcomposer.jsonを下記の内容で作成します。 $ cat composer.json { "require": { "psecio/iniscan": "dev-master" } } そしてインストールを実行します。 $ sudo composer install Loading composer repositories with package information Installing depende
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
iCloudハック事件の手口がガード不能すぎてヤバイ | fladdict
GizmodeのライターがiCloudのアカウントを乗っ取られ、iCloud消滅、iPad, iPhone, Macのデータワイプ、Gmail, Twitterの乗っ取りを食らった件について、ハッキングを本人が語ってらっしゃる。 手口としては典型的なソーシャルエンジニアリングによる、複数サイトから得た情報のギャザリングを用いたハック。 だがこのハッキングのプロセスが鮮やかすぎてヤバイ。ツールを一切つかわず電話だけでハッキングしてる。 Twitterアカウントに目をつける 元々クラッカーは、Gizライターの持っていた「3文字のTwitterアカウント」が欲しくてアタックをかけたらしい。 Twitterプロフィールから、本人のウェブサイトへ 本人のウェブサイトからGmailのアドレスを発見 Gmailで「パスワードがわからない」から再発行 再発行メール用のアドレスが画面に表示される。この m*
パスワード管理について「安全なWebアプリケーションの作り方」で学んだので実装してみた - As a Futurist...
前回半分くらい読んで積読になってしまっていた「徳丸本」こと「安全な Web アプリケーションの作り方」を週末に読みきりました。本当にいい教科書だと思いますので、脱初心者を目指す人は読んでみると良いと思います。 特に今までぼんやりとしか理解していなかった「パスワード管理」について非常に体系的に分かりやすく説明されていたので、せっかくなので Plack アプリで実装してみました。ソースは gist に貼っておきました。 基本的には徳丸本にあったとおりに実装しています。 パスワードはハッシュをかけた値を DB に保存 但し単純なハッシュ関数だと漏洩したときにクラックされる(=逆方向に解析される) そこで 2 つの対策を組み合わせる salt 値 user_id と固定値を利用して salt 値を作りパスワードに付加してハッシュを取る もし同じパスワードのユーザがいてもハッシュ値は異なる ストレッ
ミケネコの htaccess リファレンス
はじめに .htaccess ファイルの使い方 .htaccess ファイルの使い方を説明します。 アクセス・コンフィグレーション クライアントのリソースへのアクセスを、条件によって制限します。 ホスト/IP 制限 ホストまたは IP アドレスを用いて、リソースへのアクセスを制限します。 ユーザ認証 パスワードを用いて、リソースへのアクセスを制限します。 リソース・コンフィグレーション リソースに対する、何らかの制御を行います。 ブロック コンフィグレーションの範囲を、特定のファイルだけに制限します。 ディレクトリ制御 ディレクトリに対する制御を行います。 HTTP ヘッダー HTTP ヘッダーにまつわる制御を行います。 MIME/ハンドラ タイプ MIME タイプやハンドラタイプに、特別の意味をもたせます。 コンテンツネゴシエーション クライアントに返送するデータを、条件によって選択して
あやしい「svchost.exe」にご用心――3つの“素性確認”ソフト
Windowsのタスクマネージャに何個も並んで表示されているプログラム「svchost.exe」。これらがどんなサービスにひもづけられているのかを手軽に確認できるソフトを、3本まとめて紹介しよう。 Windowsのタスクマネージャでプロセスを表示した際、目につくのが「svchost.exe」というプログラムだ。同じ名前のものがズラリと並んでいる様子は、初めて見た時は多少ギョッとする。やたらとCPUを消費している場合など、その正体を確認しようと思っても、プログラム名が同じなのでそれだけでは判断できない。よく確かめずに強制終了させた結果、Windowsの挙動がおかしくなってしまった経験を持つ人も多いだろう。 もともとsvchost.exeはWindowsのサービスを一括管理するプログラムで、複数が同時に起動していてもおかしくないのだが、見た目が一緒であるため各々がどのような動きをしているか判断
CSPで暗号化する場合、非対称秘密キーをローカルなんかに平文で保存しないでください。 - Bug Catharsis
[方法:キー コンテナに非対称キーを格納する] http://msdn.microsoft.com/ja-jp/library/tswxhw92.aspx 非対称秘密キーは、ローカル コンピュータにそのまま平文として保存しないでください。 秘密キーを格納する必要がある場合は、キー コンテナを使用することをお勧めします。 キー コンテナの詳細については、プラットフォーム SDK ドキュメント (http://www.microsoft.com/japan/msdn) の「CryptoAPI」セクションを参照してください。 .NET(C#またはVB.NET)でRSA暗号化を行う場合、 素因数分解の原理を用いてゼロからゴリゴリ実装するゼ!というマゾはまずいないと思います。 通常、暗号サービスプロバイダ(CSP : Cryptographic Service Provider)によって提供された
暗号化と復号化のためのキーの生成 - .NET
キーの作成と管理は、暗号プロセスの重要な部分です。 対称アルゴリズムでは、キーと初期化ベクター (IV) を作成する必要があります。 このキー シークレットは、データの暗号化を解除させないユーザーに対しては秘密にする必要があります。 IV は秘密にする必要はありませんが、セッションごとに変更する必要があります。 非対称アルゴリズムでは、公開キーと秘密キーを作成する必要があります。 公開キーはだれにでも知らせることができますが、対応する秘密キーは、暗号化を解除する側にのみ知らせる必要があります。 このセクションでは、対称アルゴリズムと非対称アルゴリズムの両方について、キーを作成して管理する方法を説明します。 対称キー .NET に用意されている対称暗号化クラスでは、データを暗号化および暗号化解除するために、キーと新しい IV が必要になります。 いずれかのマネージド対称暗号化クラスの新しいイ
公開鍵暗号方法で暗号化する
公開鍵暗号方法で暗号化するここでは公開鍵暗号 (非対称暗号化方式、公開キー暗号方式)により暗号化、復号化する方法を紹介します。公開鍵暗号とは、公開鍵と秘密鍵(個人鍵)の2つの鍵を使って暗号化、復号化する方法です。公開鍵方式に関して「アスキーデジタル用語辞典」では、次のように説明されています。 「暗号化専用の鍵(公開鍵)と解読専用の鍵(個人鍵)を使って、暗号化と解読を行なう形式。受信側で事前に公開鍵と個人鍵のペアを用意し、暗号文の送信側に公開鍵のほうを配布する。送信側は平文を公開鍵で暗号文に変換できるが、解読はできない。受信側は、個人鍵で平文に復元可能。公開鍵だけでは解読できないという利点がある。」 .NET Frameworkでは公開キー暗号化アルゴリズムを実装するクラスとして、DSACryptoServiceProviderクラス、RSACryptoServiceProviderクラス、
.NETクラスライブラリで実装するカンタンな暗号化―日経ソフトウエア 2002年12月号特集2関連記事
●日経ソフトウエア2002年12月号関連記事 .NETクラスライブラリで実装する カンタンな暗号化 日経ソフトウエア編集部 2002/10/24 WebサービスではデータがXML(Extensible Markup Language)のメッセージでやりとりされます。言い換えればHTTPプロトコルでテキスト・データをやりとりしているわけですから,通信の途中で第3者に傍受されることもないとは言い切れません。個人のプライバシにかかわる情報は,暗号化を考えるべきでしょう。.NETクラスライブラリにはSystem.Security.Cryptographyという名前空間があり,暗号化に使える57個のクラスが提供されています。今回はその中からRijndaelManagedクラス*Aを使って文字列の暗号化を実験してみましょう。 サンプルを動かした様子を最初にご覧いただきましょう。起動すると下の左の表
[VB.NET]文字列をチャンと暗号化する - スベログ/D
フリーライドスキー(フリースキー)とアグレッシブインラインスケートとデジタル機器と、時々、日常のマッタリなブログ .NETアプリの開発Tipsとして有名なDOBON.NETさんの「.NET Tips」に「ファイルを暗号化する」や「文字列を暗号化する」にサンプルのコードが挙がっていますが、初期化ベクタを生成せずデフォルト値をそのまま使っちゃっているため暗号化の処理としてちょっとマズイ事になっています。 そこで上記リンク先のコードを参考に改造を行いました。 ついでに暗号化アルゴリズムをRijndaelに変更してあります。 暗号化キーと初期化ベクタを生成は、RijndaelManagedのGenerateKeyメソッド・GenerateIVメソッドでランダムな暗号化キーと初期化ベクタを生成するようにしました。 そして、生成した暗号化キーと初期化ベクタはレジストリのHKEY_CURRENT_USE
![[VB.NET]文字列をチャンと暗号化する - スベログ/D](https://cdn-ak-scissors.b.st-hatena.com/image/square/16aa4231be5ccdad9d6886ef4f35106b7d0f804a/height=288;version=1;width=512/http%3A%2F%2Fkazu-360.cocolog-nifty.com%2F.shared-pleasy%2Fnifty_managed%2Fimages%2Fweb%2Fogp%2Fdefault.png)
FLEXlm - "Dubious License Management", & SentinelLM / ElanLM.
FLEXlm - (License Management for the commercial fools) On February 7th 2005 Macrovision were once again successful in scaring my webhost into shutting down this page. This is now the 2nd time they have decided to exercise their legal teams (unlike most protectionists who actually improve their software, heaven forbid!), the shutdown lasted about 2 weeks. FLEXlm, or the 'flexible lies manager' depe
最強のパスワード管理ツール5選! | ライフハッカー・ジャパン
ネット中心に発展していく世界において、増え続けるのがパスワードと呼ばれる文字の羅列ですが、簡単すぎてもセキュリティが危ういし、難しすぎると忘れてしまうし、となかなか良いバランスを見つけ出すのが大変です。今回は、パスワード管理のお手伝いをしてくれる便利なパスワード管理ツールを5つほどご紹介! 全てのアカウントなどに同じパスワードを使うと確かに楽ですが、これは危険極まりない行為です。逆に、全てのアカウントのパスワードを違うもの、かつ強力なものにしてしまうと、常人の頭脳ではとても覚えきれる数ではないかと。 パスワード管理ツールとは「少ないパスワードの使い回し」と「自分でも覚えられない複雑すぎるパスワード」の絶妙なバランスを保つことを目的としてこの世に誕生したツールなのです。下記の5つのツールは強力なパスワードを設定し、かつ、それらを管理する、という正義の味方のようなツールです。 ■KeePass
Sypbot の TeaTimer.exe を停止させてみる
1. TeaTimer が原因で PC の動きが悪い 最近、 PC の動きが悪い。 タスク マネージャのプロセスを見ると、 TeaTimer.exe が結構 CPU を使っていることがわかった。一体このプログラムは何だろう? 調べてみると、Spybot のプロセスのようだ。 teatimerとは?:あ!早い!と感じるWindows プロセス検索 によると、 teatimer.exeはSpybot(海外のスパイウエア検索・削除)のプロセスで、様々なスパイウェアをリアルタイムでスキャンしたりモニターするためのソフトです。停止や削除などはしないほうが無難でしょう。 Spybot は、スパイウェア対策としてインストールした。しかし、停止しない方が良いと書かれているので、どうしよう... (@_@;) うーん。 おしえてBP! SPYBOTのTea Timerにチェックを入れたら には、 私も以前は
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
有効なWikiNameではありません - namespace gimite
Browse code samples
フリーFTPソフト『FFFTP』に、8080系のマルウェア感染と同時にID・パスワードを取得される危険性があるそうです : ライフハッカー[日本版], 仕事も生活も上手くこなすライフハック情報満..