安全ãªPHPアプリケーションã®ä½œã‚Šæ–¹2014神戸ITフェスティãƒãƒ«è¬›æ¼” http://kobe-it-fes.org/kif2014/seminar/entry-197.html
æ£è¦è¡¨ç¾ã«ã‚ˆã‚‹ãƒãƒªãƒ‡ãƒ¼ã‚·ãƒ§ãƒ³ã§ã¯ ^ 㨠$ ã§ã¯ãªã \A 㨠\z を使ãŠã†
æ£è¦è¡¨ç¾ã«ã‚ˆã‚‹ãƒãƒªãƒ‡ãƒ¼ã‚·ãƒ§ãƒ³ç‰ã§ã€å®Œå…¨ä¸€è‡´ã‚’示ã™ç›®çš„㧠^ 㨠$ を用ã„る方法ãŒä¸€èˆ¬çš„ã§ã™ãŒã€æ£ã—ã㯠\A 㨠\z を用ã„ã‚‹å¿…è¦ãŒã‚ã‚Šã¾ã™ã€‚Rubyã®å ´åˆ ^ 㨠$ を使ã£ã¦å®Œå…¨ä¸€è‡´ã®ãƒãƒªãƒ‡ãƒ¼ã‚·ãƒ§ãƒ³ã‚’è¡Œã†ã¨è„†å¼±æ€§ãŒå…¥ã‚Šã‚„ã™ã„ワナã¨ãªã‚Šã¾ã™ã€‚Perlã‚„PHPã®å ´åˆã¯ã€Ruby程ã§ã¯ã‚ã‚Šã¾ã›ã‚“ãŒä¸å…·åˆãŒç”Ÿã˜ã‚‹ã®ã§ \A 㨠\z を使ã†ã‚ˆã†ã«ã—ã¾ã—ょã†ã€‚ ã¯ã˜ã‚㫠大垣ã•ã‚“ã®ãƒ–ãƒã‚°ã‚¨ãƒ³ãƒˆãƒªã€ŒPHPerå‘ã‘ã€Ruby/Railsã®è½ã¨ã—ç©´ã€ã«ã¯ã€Rubyã®è½ã¨ã—ç©´ã¨ã—ã¦ã€å®Œå…¨ä¸€è‡´æ¤œç´¢ã®æŒ‡å®šã¨ã—ã¦ã€æ£è¦è¡¨ç¾ã® ^ 㨠$ を指定ã™ã‚‹ä¾‹ãŒã€Ruby on Rails Security Guideã‹ã‚‰ã®å¼•ç”¨ã¨ã—ã¦ç´¹ä»‹ã•ã‚Œã¦ã„ã¾ã™ã€‚以下ã®æ£è¦è¡¨ç¾ã¯ã€XSS対ç–ã¨ã—ã¦ã€httpスã‚ームã‚ã‚‹ã„ã¯httpsスã‚ームã®URLã®ã¿ã‚’許å¯ã™ã‚‹æ£è¦è¡¨ç¾ã®ã¤ã‚‚ã‚Šã§ã™ã€‚ /^https?:\/\/[^\n]+$/
CakePHP 1.2.x, 1.3.x, 2.x ã® Paginate / PaginatorComponent ã« SQL インジェクションå¯èƒ½ãªè„†å¼±æ€§
CakePHP 1.2.x, 1.3.x, 2.x ã® Paginate / PaginatorComponent ã« SQL インジェクションå¯èƒ½ãªè„†å¼±æ€§ CakePHP(1.2.x 以é™å…¨ã¦ï¼‰ã® Paginate / PaginatorComponent ã«ã¦ SQL インジェクションå¯èƒ½ãªè„†å¼±æ€§ãŒè¦‹ã¤ã‹ã‚Šã¾ã—ãŸã€‚ ã™ã§ã« cakephper ã•ã‚“ã® blog ã§ã‚‚注æ„勧告ã•ã‚Œã¦ã„ã¾ã™ãŒã€ 連休ä¸ã«ãƒªãƒªãƒ¼ã‚¹ã•ã‚ŒãŸæƒ…å ±ã¨ã„ã†ã“ã¨ã§è¦‹è½ã¨ã—ã¦ã„る人もã„ã‚‹ã¨æ€ã†ã®ã§ã€ã“ã¡ã‚‰ã§ã‚‚。 内容 ã“ã®è„†å¼±æ€§ã‚’悪用ã™ã‚‹ã¨ Paginate / PaginatorComponent ã«ã¦ SQL インジェクションãŒå¯èƒ½ã¨ãªã‚Šã¾ã™ã€‚ ç¾åœ¨ã¯å½±éŸ¿ã®å¤§ãã•ã‚’考慮ã—ã¦ã€å…¬å¼ã‚µã‚¤ãƒˆã§ã¯è„†å¼±æ€§ã®è©³ç´°ã¯æ˜Žã‚‰ã‹ã«ã•ã‚Œã¦ã„ã¾ã›ã‚“ãŒï¼ˆä¸€å®šæœŸé–“ã€ãƒ¦ãƒ¼ã‚¶ã®ã‚¢ãƒƒãƒ—グレードを待ã£ã¦å…¬é–‹ã™ã‚‹ã‚ˆã†ã§ã™ã€‚)ã€ç§ãŒé–‹ç™ºç’°å¢ƒã§è©¦ã—ãŸã¨ã“ã‚ã€S
5分ã§ã§ãã‚‹PHPã‚»ã‚ãƒ¥ãƒªãƒ†ã‚£å¯¾ç– - ã¼ãã¯ã¾ã¡ã¡ã‚ƒã‚“ï¼
ã“ã‚“ã«ã¡ã¯ã“ã‚“ã«ã¡ã¯ï¼ï¼ Webプãƒã‚°ãƒ©ãƒŸãƒ³ã‚°ã—ã¦ã¾ã™ã‹ï¼ よã「PHPã¯ã‚»ã‚ュリティãŒãƒ€ãƒ¡ã€ã¨ã‹è¨€ã‚ã‚Œã¦ã‚‹ã‚ˆã。 ã§ã‚‚ãã‚Œã£ã¦ã€ã¹ã¤ã«PHPãŒæ‚ªã„ã‚“ã˜ã‚ƒãªãã¦ã€ ãŸã¶ã‚“ã€ã‚»ã‚ュリティã¨ã‹ãŒã€ã¾ã よãã‚ã‹ã‚‰ãªã„人ãŒå¤šã„ã ã‘ãªã‚“ã˜ã‚ƒãªã„ã‹ãªã€‚ ãŒã‚“ã°ã£ã¦å‹‰å¼·ã—よã†ã¨æ€ã£ã¦ã‚‚ã€ãªã‚“ã ã‹é›£ã—ã„ç†å±ˆãŒä¸¦ã‚“ã§ã„ãŸã‚Šã™ã‚‹ã—ã…。 ãªã®ã§ä»Šæ—¥ã¯ã€ã‚»ã‚ュリティ対ç–ã«ã¤ã„ã¦ã€ 「ã“ã‚Œã ã‘ã‚„ã£ã¨ã‘ã°ã€ã‚ã‚Šã¨å®‰å…¨ã«ãªã‚‹ã‚ˆã€ã£ã¦ã“ã¨ã‚’ã€åˆå¿ƒè€…ã‚€ã‘ã«ã€å¤§é›‘把ã«æ›¸ã„ã¦ã¿ã¾ã™ï¼ ç†å±ˆãŒã‚ã‹ã‚‰ãªãã¦ã‚‚ã€æœ€åˆã¯ã‚³ãƒ”ペã§ã‚‚〠ãªã«ã‚‚やらãªã„よりã€ã‚„ã£ãŸã»ã†ãŒãã£ã¨ãƒžã‚·ã«ãªã‚‹ï¼ 1. XSSå¯¾ç– å‹•çš„ãªã‚‚ã®ã‚’表示ã™ã‚‹ã¨ãã€å…¨éƒ¨ã‚¨ã‚¹ã‚±ãƒ¼ãƒ—ã™ã‚Œã°okã§ã™ï¼ (NG) ã‚ãªãŸã®åå‰ã¯ <?= $name ?> ã§ã™ãï¼ â†“ (OK) ã‚ãªãŸã®åå‰ã¯ <?= htmlspecialchars($name, ENT_QUOTES) ?>
hashdos攻撃をmod_securityã§é˜²å¾¡ã™ã‚‹(CentOS+yumç·¨)
ã“ã®ã‚¨ãƒ³ãƒˆãƒªã§ã¯ã€hashdos対ç–ã¨ã—ã¦ã®mod_securityã®å°Žå…¥ã¨è¨å®šã®æ–¹æ³•ã‚’説明ã—ã¾ã™ã€‚CentOS環境ã§yumã«ã‚ˆã‚ŠApacheã‚’å°Žå…¥ã—ã¦ã„るサイトã«å¯¾ã—ã¦ã€yumã«ã‚ˆã‚Šmod_securityã‚’å°Žå…¥ã™ã‚‹ã¨ã„ã†ã‚·ãƒŠãƒªã‚ªã§èª¬æ˜Žã—ã¾ã™ã€‚ ã¯ã˜ã‚ã«æ—¢ã«å½“ブãƒã‚°ã§å ±å‘Šã®é€šã‚Šã€hashdosã¨å‘¼ã°ã‚Œã‚‹æ”»æ’ƒæ‰‹æ³•ãŒå…¬è¡¨ã•ã‚Œã¦ã„ã¾ã™ã€‚HTTPリクエストã®ãƒ‘ラメータåã«å¯¾ã™ã‚‹ãƒãƒƒã‚·ãƒ¥å€¤ã‚’æ•…æ„ã«åŒä¸€ã«ã—ãŸ(è¡çªã•ã›ãŸ)ã‚‚ã®ã‚’多数(数万程度)é€ä¿¡ã™ã‚‹ã“ã¨ã«ã‚ˆã‚Šã€Webサーãƒãƒ¼ã‚’数分程度éŽè² è·ã«ã§ãã‚‹ã¨ã„ã†DoS攻撃手法ã§ã™ã€‚ã¾ã hashdosã«ã‚ˆã‚‹æ”»æ’ƒäº‹ä¾‹ã¯å ±å‘Šã•ã‚Œã¦ã„ãªã„よã†ã§ã™ãŒã€æ—¢ã«æ”»æ’ƒã‚³ãƒ¼ãƒ‰ï¼ˆPoC)ãŒå…¬è¡¨ã•ã‚Œã¦ã„ã‚‹ãŸã‚ã€ã„ã¤æ”»æ’ƒãŒèµ·ã“ã£ã¦ã‚‚ä¸æ€è°ã§ã¯ãªã„状æ³ã§ã™ã€‚ PHPも影響をå—ã‘るプラットフォームã§ã‚ã‚Šã€PHP5.3.9ã§å¯¾å‡¦äºˆå®šã¨ãªã£ã¦ã„ã¾ã™ãŒã€ã¾ã PHP5.3.9ã¯ãƒªãƒªãƒ¼ã‚¹ã•ã‚Œã¦
Webアプリケーションã«å¯¾ã™ã‚‹åºƒç¯„ãªDoS攻撃手法(hashdos)ã®å½±éŸ¿ã¨å¯¾ç–
28C3(28th Chaos Communication Congress)ã«ãŠã„ã¦ã€Effective Denial of Service attacks against web application platforms(Webプラットフォームã«å¯¾ã™ã‚‹åŠ¹æžœçš„ãªã‚µãƒ¼ãƒ“ス妨害攻撃)ã¨é¡Œã™ã‚‹ç™ºè¡¨ãŒã‚ã‚Šã¾ã—ãŸï¼ˆã‚¿ã‚¤ãƒ スケジュールã€è¬›æ¼”スライド)。 ã“ã‚Œã«ã‚ˆã‚‹ã¨ã€PHPã‚’ã¯ã˜ã‚ã¨ã™ã‚‹å¤šãã®Webアプリケーション開発プラットフォームã«å¯¾ã—ã¦ã€CPU資æºã‚’枯渇ã•ã›ã‚‹ã‚µãƒ¼ãƒ“ス妨害攻撃(DoS攻撃)ãŒå¯èƒ½ãªæ‰‹æ³•ãŒè¦‹ã¤ã‹ã£ãŸã¨ã„ã†ã“ã¨ã§ã™ã€‚ã“ã®æ”»æ’ƒã¯ã€hashdos ã¨å‘¼ã°ã‚Œã¦ã„ã¾ã™ã€‚ 概è¦PHPãªã©å¤šãã®è¨€èªžã§ã¯ã€æ–‡å—列をã‚ーã¨ã™ã‚‹é…列(連想é…列ã€ãƒãƒƒã‚·ãƒ¥ï¼‰ãŒç”¨æ„ã•ã‚Œã¦ãŠã‚Šã€HTTPリクエストã®ãƒ‘ラメータも連想é…列ã®å½¢ã§æä¾›ã•ã‚Œã¾ã™ã€‚PHPã®å ´åˆã€$_GETã€$_POSTãªã©ã§ã™ã€‚ 連想é…列ã®å®Ÿè£…ã«ã¯
第44回 セã‚ュリティ対ç–ãŒç¢ºå®Ÿã«å®Ÿæ–½ã•ã‚Œãªã„2ã¤ã®ç†ç”± | gihyo.jp
ã‚»ã‚ュリティ対ç–ã¯è¨€èªžã‚„アプリケーションをå•ã‚ãšéžå¸¸ã«é‡è¦ã§ã™ã€‚ã—ã‹ã—ã€å–ã‚‹ã¹ãã‚»ã‚ュリティ対ç–ãŒç¢ºå®Ÿã«å®Ÿæ–½ã•ã‚Œãªã„ケースãŒåºƒã見å—ã‘られã¾ã™ã€‚ 最近ã®ä¾‹ã§ã¯æ¬¡ã®ã‚ˆã†ãªç‰©ãŒã‚ã‚Šã¾ã™ã€‚ WordPress Meenews 5.1 Cross Site Scripting WordPress Enable-Latex Remote File Inclusion Dolibarr 3.1.0 RC Cross Site Scripting / SQL Injection 上ã®URLã®è„†å¼±æ€§ã‚‚対ç–ãŒç°¡å˜ãªã‚‚ã®ãŒå¤šã„ã§ã™ãŒã€å¯¾ç–ãŒç°¡å˜ãªSQLインジェクションã®è„†å¼±æ€§ã‚‚数多ã見ã¤ã‹ã£ã¦ã„ã¾ã™ã€‚ CMS Balitbang 3.x SQL Injection AdaptCMS 2.x SQL Injection Icomex CMS SQL Injection ãªãœç°¡å˜ãªå¯¾ç–ã§é˜²ã’る脆弱性ã§ã‚‚ã‚»ã‚ュリテ
第5回 ファイルåã«NULLã‚’å«ã‚€å ´åˆã«ç„¡åŠ¹åŒ–ã™ã‚‹ãƒ‘ッム| gihyo.jp
出力先ã§ç‰¹æ®Šãªæ„味をæŒã¤æ–‡å—ãŒã‚ã‚‹å ´åˆã€æ£ã—ã出力ã—ãªã„ã¨æ„図ã—ãªã„動作を起ã“ã™ã“ã¨ãŒã‚ã‚Šã¾ã™ã€‚一ã¤ä»¥ä¸Šã®ç‰¹æ®Šãªæ„味をæŒã¤æ–‡å—ãŒã‚ã‚‹å ´åˆã€ã‚¨ã‚¹ã‚±ãƒ¼ãƒ—ã‚’ã™ã‚‹ã‹ã€ã‚¨ã‚¹ã‚±ãƒ¼ãƒ—ã‚’ã—ãªãã¦ã‚‚安全ã«å‡ºåŠ›ã§ãる方法ã§å‡ºåŠ›ã—ãªã‘ã‚Œã°ãªã‚Šã¾ã›ã‚“。NULLæ–‡å—ã®æŒ¿å…¥ã¯JavascriptインジェクションやSQLインジェクションã¨ã€ŒåŒã˜ã€ã‚¤ãƒ³ã‚¸ã‚§ã‚¯ã‚·ãƒ§ãƒ³æ”»æ’ƒã§ã™ã€‚ PHP 5.3.4ã®NULL無効化パッムZendエンジンå´ã¯zend_vm_execute.hã®ZEND_INCLUDE_OR_EVAL_SPEC_CONST_HANDLERã€ZEND_INCLUDE_OR_EVAL_SPEC_TMP_HANDLERã€ZEND_INCLUDE_OR_EVAL_SPEC_VAR_HANDLERã€ZEND_INCLUDE_OR_EVAL_SPEC_CV_HANDLERã«ä»¥ä¸‹ã®ã‚ˆã†ãªã‚³ãƒ¼ãƒ‰ãŒè¿½åŠ ã•ã‚Œã¦ã„ã¾ã™ã€‚ + if
PDOã«ãŠã‘る一応ã®å®‰å…¨å®£è¨€ã¨æ®‹ã‚‹å•é¡Œç‚¹
8月18æ—¥ã«PHP5.3.7ãŒãƒªãƒªãƒ¼ã‚¹ã•ã‚Œã¾ã—ãŸã€‚ã“ã®ãƒªãƒªãƒ¼ã‚¹ã«ã‚ˆã‚Šã€PDOã®SQLインジェクションã®å•é¡ŒãŒä¸€å¿œè§£æ±ºã•ã‚ŒãŸã¨åˆ¤æ–ã—ã¾ã—ãŸã®ã§ã€ã“ã“ã«ã€Œä¸€å¿œã®å®‰å…¨å®£è¨€ã€ã‚’表明ã™ã‚‹ã¨ã¨ã‚‚ã«ã€æ®‹ã‚‹å•é¡Œã«ã¤ã„ã¦å ±å‘Šã—ã¾ã™ã€‚ PDOã®å•é¡Œã¨ã¯ä½•ã‹ 以å‰ã€ã¼ããŒPDOを採用ã—ãªã‹ã£ãŸã‚ã‘(Shift_JISã«ã‚ˆã‚‹SQLインジェクション)ã«ã¦å ±å‘Šã—ãŸã‚ˆã†ã«ã€PHP5.3.5以å‰ã®PDOã«ã¯DB接続時ã«æ–‡å—エンコーディングを指定ã™ã‚‹æ©Ÿèƒ½ãŒãªã„ãŸã‚ã€æ–‡å—列リテラルã®ã‚¨ã‚¹ã‚±ãƒ¼ãƒ—ã®éš›ã«æ–‡å—エンコーディングをLatin1を仮定ã—ã¦ã—ã¾ã†ã¨ã„ã†å•é¡ŒãŒã‚ã‚Šã¾ã—ãŸã€‚ã“ã®çŠ¶æ…‹ã§ã™ã¨ã€DBã«Shift_JISã§æŽ¥ç¶šã—ã¦ã„ã‚‹éš›ã«ã€SQLインジェクション脆弱性ãŒæ··å…¥ã—ã¾ã—ãŸã€‚ ※ 実ã¯ã€å…ˆã®ã‚¨ãƒ³ãƒˆãƒªã®ã€Œè¿½è¨˜(2010/07/01 22:20)ã€ã«ç´¹ä»‹ã—ãŸæ–¹æ³•ã§æ–‡å—エンコーディングを指定ã§ãã‚‹ã®ã§ã™ãŒã€ã»ã¨ã‚“ã©çŸ¥ã‚‰ã‚Œã¦ã„ãªã„ã®ã¨
ã¼ããŒPDOを採用ã—ãªã‹ã£ãŸã‚ã‘(Shift_JISã«ã‚ˆã‚‹SQLインジェクション)
補足 ã“ã®è¨˜äº‹ã¯æ—§å¾³ä¸¸æµ©ã®æ—¥è¨˜ã‹ã‚‰ã®è»¢è¼‰ã§ã™ã€‚å…ƒURLã€ã‚¢ãƒ¼ã‚«ã‚¤ãƒ–ã€ã¯ã¦ãªãƒ–ックマーク1ã€ã¯ã¦ãªãƒ–ックマーク2。 備忘ã®ãŸã‚転載ã„ãŸã—ã¾ã™ãŒã€ã“ã®è¨˜äº‹ã¯2010å¹´7月1æ—¥ã«å…¬é–‹ã•ã‚ŒãŸã‚‚ã®ã§ã€å½“時ã®å¾³ä¸¸ã®è€ƒãˆã‚’示ã™ã‚‚ã®ã‚’ã€åŸºæœ¬çš„ã«å†…容を変更ã›ãšã«ãã®ã¾ã¾è»¢è¼‰ã™ã‚‹ã‚‚ã®ã§ã™ã€‚ 補足終ã‚ã‚Š PHPã®ãƒ‡ãƒ¼ã‚¿ãƒ™ãƒ¼ã‚¹ãƒ»ã‚¢ã‚¯ã‚»ã‚¹ãƒ»ãƒ©ã‚¤ãƒ–ラリPDOã¯ã€DB接続時ã®æ–‡å—エンコーディング指定ãŒã§ããªã„ãŸã‚ã€æ–‡å—エンコーディングã®é¸æŠžã«ã‚ˆã£ã¦ã¯ã€ãƒ—レースホルダを使ã£ã¦ã„ã¦ã‚‚SQLインジェクション脆弱性ãŒç™ºç”Ÿã—ã¾ã™ã€‚ 追記(2011/06/19) ã“ã“ã«æ¥ã¦æ€¥ã«ãƒ–クマãŒè¿½åŠ ã•ã‚Œã¯ã˜ã‚ã¦ã„ã¾ã™ãŒã€ã“ã®ã‚¨ãƒ³ãƒˆãƒªã‚’書ã„ã¦ã‹ã‚‰çŠ¶æ³ãŒæ”¹å–„ã—ã¦ã„ã¾ã™ã€‚PHP5.3.6(2011/03/17)ã«ã¦ã€PDOã§ã‚‚データベース接続ã®æ–‡å—エンコーディングを指定ã§ãるよã†ã«ãªã‚Šã¾ã—ãŸã€‚ã“ã®ç‰ˆã§ã€UNIX版ã®PHPã§ã¯è§£æ±ºã—ã¾ã—ãŸãŒã€Win
ã‚‚ã—『よãã‚ã‹ã‚‹PHPã®æ•™ç§‘書ã€ã®è‘—者ãŒå¾³ä¸¸æµ©ã®ã€Žå®‰å…¨ãªWebアプリケーションã®ä½œã‚Šæ–¹ã€ã‚’èªã‚“ã ら - ockeghem's blog
ãŸã«ãã¡ã¾ã“ã¨ã•ã‚“ã®æ›¸ã‹ã‚ŒãŸã€Žã‚ˆãã‚ã‹ã‚‹PHPã®æ•™ç§‘書(以下ã€ã€Œã‚ˆãã‚ã‹ã‚‹ã€ï¼‰ã€ã‚’購入ã—ã¦ãƒ‘ラパラã¨è¦‹ã¦ã„ãŸã‚‰ã€ã‚»ã‚ュリティ上ã®å•é¡ŒãŒã‹ãªã‚Šã‚ã‚‹ã“ã¨ã«æ°—ãŒã¤ãã¾ã—ãŸã€‚ãã“ã§ã€æ‹™è‘—「体系的ã«å¦ã¶ 安全ãªWebアプリケーションã®ä½œã‚Šæ–¹ï¼ˆä»¥ä¸‹ã€å¾³ä¸¸æœ¬ï¼‰ã€ã®ç« ・節毎ã«ç…§ã‚‰ã—åˆã‚ã›ã¦ã€ã€Œã‚ˆãã‚ã‹ã‚‹ã€ã®è„†å¼±æ€§ã«ã¤ã„ã¦å ±å‘Šã—ã¾ã™ã€‚主ã«ã€å¾³ä¸¸æœ¬ã®4ç« ã¨5ç« ã‚’å‚ç…§ã—ã¾ã™ã€‚ 4.2 入力処ç†ã¨ã‚»ã‚ュリティ 「よãã‚ã‹ã‚‹ã€ã®ã‚µãƒ³ãƒ—ルや解説ã§ã¯ã€å…¥åŠ›å€¤æ¤œè¨¼ã¯ã»ã¨ã‚“ã©ã—ã¦ã„ã¾ã›ã‚“。ã—ã‹ã—ã€å…¥åŠ›å€¤æ¤œè¨¼ã‚’ã—ã¦ã„ãªã„ã‹ã‚‰ã¨ã„ã£ã¦å³è„†å¼±ã‹ã¨ã„ã†ã¨ãã†ã§ã¯ã‚ã‚Šã¾ã›ã‚“。徳丸本ã§ã‚‚強調ã—ã¦ã„るよã†ã«ã€å…¥åŠ›å€¤æ¤œè¨¼ã¯ã‚¢ãƒ—リケーションè¦ä»¶ï¼ˆä»•æ§˜ï¼‰ã«æ²¿ã£ã¦ã„ã‚‹ã“ã¨ã‚’確èªã™ã‚‹ã‚‚ã®ã§ã€ã‚»ã‚ュリティ対ç–ãŒç›®çš„ã§ã¯ãªã„ã‹ã‚‰ã§ã™ã€‚ 「よãã‚ã‹ã‚‹ã€ã®ä¸ã§ã€ç§ãŒè¦‹ãŸç¯„囲ã§å”¯ä¸€ã®å…¥åŠ›å€¤æ¤œè¨¼ã¯ã€éƒµä¾¿ç•ªå·ã®ãƒã‚§ãƒƒã‚¯ã‚’ã™ã‚‹ã‚‚ã®ã§ã™ã€‚以下ã«å¼•ç”¨ã—ã¾ã™ï¼ˆã€Œã‚ˆãã‚
CakePHPã§CSRF対ç–
CakePHPã§CSRF対ç–ã‚’è¡Œã†æ–¹æ³•ã§ã™ã€‚ フレームワークã«å«ã¾ã‚Œã¦ã„ã‚‹Securityコンãƒãƒ¼ãƒãƒ³ãƒˆã‚’使ã„ã¾ã™ã€‚ Security#requestAuth()ã«ã‚¢ã‚¯ã‚·ãƒ§ãƒ³ã‚’記述ã—ã¦ãŠãã¨ã€ã‚¢ã‚¯ã‚·ãƒ§ãƒ³å®Ÿè¡Œå‰ã«æ£è¦ãƒªã‚¯ã‚¨ã‚¹ãƒˆã‹ã©ã†ã‹ã‚’ãƒã‚§ãƒƒã‚¯ã—ã¾ã™ã€‚ãƒã‚§ãƒƒã‚¯ã®æ–¹æ³•ã¯CSRF対ç–ã§ä¸€èˆ¬çš„ãªãƒ¯ãƒ³ã‚¿ã‚¤ãƒ トークン方å¼ã§ã™ã€‚ ã¾ãšController#beforeFilter()ã«ã¦ãƒã‚§ãƒƒã‚¯ã‚’è¡Œã†ã‚¢ã‚¯ã‚·ãƒ§ãƒ³ã‚’指定ã—ã¾ã™ã€‚ [app/controller/test_controller.php] < ?php class TestController extends AppController { var $name = 'Test'; var $components = array('Security'); function beforeFilter() { $this->Security->req
第41回 PHP 5.3.4ã«ãŠã‘ã‚‹ã‚»ã‚ュリティ上é‡è¦ãªä»•æ§˜å¤‰æ›´ | gihyo.jp
PHP 5.3.4ã®ãƒªãƒªãƒ¼ã‚¹ã¯2010å¹´12月ã«ãƒªãƒªãƒ¼ã‚¹ã•ã‚Œã¾ã—ãŸã€‚ã“ã®ãƒªãƒªãƒ¼ã‚¹ã«ã¯ã‚»ã‚ュリティ上é‡è¦ãªå¤‰æ›´ãŒè¿½åŠ ã•ã‚Œã¦ã„ã¾ã™ã€‚ Paths with NULL in them (foo\0bar.txt) are now considered as invalid. (Rasmus) パスã«â€œâ foo\0bar.txtâ â€ãªã©ã®ã‚ˆã†ã«NULLãŒå«ã¾ã‚Œã‚‹å ´åˆã¯ç„¡åŠ¹ã¨ã—ã¦å‡¦ç†ã•ã‚Œã‚‹ã€ã¨PHP 5.3.4ã®ãƒªãƒªãƒ¼ã‚¹ãƒŽãƒ¼ãƒˆã«ã¯è¨˜è¼‰ã•ã‚Œã¦ã„ã¾ã™ã€‚PHP開発者ã®é–“ã§ã‚‚ã‚ã¾ã‚Šå¤§ããªãƒ‹ãƒ¥ãƒ¼ã‚¹ã¨ã—ã¦å–り上ã’られã¦ã„ãªã„ã®ã§ã€ã“ã®ä»•æ§˜å¤‰æ›´ã‚’ã”å˜çŸ¥ã§ãªã„方も多ã„ã¨æ€ã„ã¾ã™ã€‚2011å¹´4月ç¾åœ¨ã§ã‚‚ã“ã®ä»•æ§˜å¤‰æ›´ã¯ãƒžãƒ‹ãƒ¥ã‚¢ãƒ«ã«ã¯è¨˜è¼‰ã•ã‚Œã¦ã„ã¾ã›ã‚“。ã—ã‹ã—ã€ã“ã®ä¿®æ£ã¯ã‚»ã‚ュリティ上éžå¸¸ã«é‡è¦ãªæ„味をæŒã£ã¦ã„ã‚‹ã®ã§è§£èª¬ã—ã¾ã™ã€‚ 仕様変更ã®å¿…è¦æ€§ PHP本体ã¯C言語ã§è¨˜è¿°ã•ã‚Œã¦ã„ã‚‹ãŸã‚ã€ãƒ•ã‚¡ã‚¤ãƒ«ã‚’é–‹ãå ´åˆã€æœ€çµ‚çš„ã«ã¯C言
PHPã®escapeshellcmdã®å±é™ºæ€§ - 徳丸浩ã®æ—¥è¨˜
補足 ã“ã®è¨˜äº‹ã¯æ—§å¾³ä¸¸æµ©ã®æ—¥è¨˜ã‹ã‚‰ã®è»¢è¼‰ã§ã™ï¼ˆå…ƒURLã€ã‚¢ãƒ¼ã‚«ã‚¤ãƒ–ã€ã¯ã¦ãªãƒ–ックマーク1ã€ã¯ã¦ãªãƒ–ックマーク2)。 備忘ã®ãŸã‚転載ã„ãŸã—ã¾ã™ãŒã€ã“ã®è¨˜äº‹ã¯2011å¹´1月1æ—¥ã«å…¬é–‹ã•ã‚ŒãŸã‚‚ã®ã§ã€å½“時ã®å¾³ä¸¸ã®è€ƒãˆã‚’示ã™ã‚‚ã®ã‚’ã€åŸºæœ¬çš„ã«å†…容を変更ã›ãšã«ãã®ã¾ã¾è»¢è¼‰ã™ã‚‹ã‚‚ã®ã§ã™ã€‚ 補足終ã‚ã‚Š 本を書ã„ã¦ã„ã¾ã™ã€‚åˆç¨¿ã‚’一通り書ã上ã’ã€ç¬¬2稿を作æˆä¸ã§ã™ã€‚ãã®éŽç¨‹ã§è¦‹ã¤ã‘ãŸã“ã¨ã‚’å ±å‘Šã—ã¾ã™ã€‚ PHPã®escapeshellcmdã¯ãƒ‘ラメータをクォートã—ãªã„ã®ã§å‘¼ã³å‡ºã—å´ã§ã‚¯ã‚©ãƒ¼ãƒˆã™ã‚‹å¿…è¦ãŒã‚ã‚Šã¾ã™ãŒã€escapeshellcmdã®ä»•æ§˜ãŒã¾ãšã„ãŸã‚ã«ã€å‘¼ã³å‡ºã—å´ã§ã‚¯ã‚©ãƒ¼ãƒˆã—ã¦ã‚‚çªç ´ã§ãã‚‹ã“ã¨ãŒåˆ†ã‹ã‚Šã¾ã—ãŸã€‚ escapeshellcmdã®ä»•æ§˜ PHPã«ã¯ã‚·ã‚§ãƒ«ã®ãƒ‘ラメータをエスケープã™ã‚‹é–¢æ•°ãŒ2ã¤ã‚ã‚Šã¾ã™ã€‚escapeshellargã¨escapeshellcmdã§ã™ã€‚escapeshellargã¯ã€ã‚¨
escapeshellcmdã®å±é™ºãªå®Ÿä¾‹
補足 ã“ã®è¨˜äº‹ã¯æ—§å¾³ä¸¸æµ©ã®æ—¥è¨˜ã‹ã‚‰ã®è»¢è¼‰ã§ã™ï¼ˆå…ƒURLã€ã‚¢ãƒ¼ã‚«ã‚¤ãƒ–ã€ã¯ã¦ãªãƒ–ックマーク1ã€ã¯ã¦ãªãƒ–ックマーク2)。 備忘ã®ãŸã‚転載ã„ãŸã—ã¾ã™ãŒã€ã“ã®è¨˜äº‹ã¯2011å¹´1月4æ—¥ã«å…¬é–‹ã•ã‚ŒãŸã‚‚ã®ã§ã€å½“時ã®å¾³ä¸¸ã®è€ƒãˆã‚’示ã™ã‚‚ã®ã‚’ã€åŸºæœ¬çš„ã«å†…容を変更ã›ãšã«ãã®ã¾ã¾è»¢è¼‰ã™ã‚‹ã‚‚ã®ã§ã™ã€‚ 補足終ã‚ã‚Š 先日ã®æ—¥è¨˜PHPã®escapeshellcmdã®å±é™ºæ€§ã§ã¯PHPã®escapeshellcmd関数ã®å±é™ºæ€§ã«ã¤ã„ã¦æŒ‡æ‘˜ã—ã¾ã—ãŸãŒã€è„†å¼±ã¨ãªã‚‹å®Ÿä¾‹ã‚’挙ã’ã¦ã„ãªã‹ã£ãŸã®ã§ã€ã€Œæœ¬å½“ã«å±é™ºãªã®ã‹ã€ã¨åŠä¿¡åŠç–‘ã®æ–¹ã‚‚ãŠã‚‰ã‚Œã‚‹ã¨æ€ã„ã¾ã™ã€‚ãã“ã§ã€åŒé–¢æ•°ãŒå±é™ºã¨ãªã‚‹å®Ÿä¾‹ã‚’考ãˆãŸã®ã§å ±å‘Šã—ã¾ã™ã€‚ grepを使ã£ã¦ã€ã‚µãƒ¼ãƒãƒ¼å†…を検索ã™ã‚‹ã‚¹ã‚¯ãƒªãƒ—トを考ãˆã¾ã™ã€‚ <?php header('Content-Type: text/html; charset=UTF-8'); ?> <html> <body><pre> <?php $k
phpã®escapeshellcmdã®ä½™è¨ˆãªãŠä¸–話を無ãã™ãƒ‘ッãƒ
(Last Updated On: )徳丸ã•ã‚“ã®ãƒ–ãƒã‚°ã§escapeshellcmdã®ä½™è¨ˆãªãŠä¸–話ã®ä»¶ãŒæŒ‡æ‘˜ã•ã‚Œã¦ã„ãŸã®ã§ãƒ‘ッãƒã‚’作りã¾ã—ãŸã€‚ã“ã‚Œmagic quoteã¨åŒã˜ãƒ¬ãƒ™ãƒ«ã®ä½™è¨ˆãªãŠä¸–話ãªã®ã§ã™ãŒæ”¾ç½®ã•ã‚Œã¦ã„ã¾ã™ã€‚個人的ã«ã¯ã©ã®ã‚ˆã†ãªé–¢æ•°ã«ã‚‚å…¨ã¦ãƒãƒªãƒ‡ãƒ¼ã‚·ãƒ§ãƒ³æ¸ˆã¿ã®æ–‡å—列ã—ã‹æ¸¡ã•ãªã„ã®ã§ã‚»ã‚ュリティå•é¡Œã¯ç™ºç”Ÿã—ãªã„ã®ã§ã™ãŒã€UNIXç³»OSã§ã¯ãƒšã‚¢ã¨ãªã‚‹â€ã¨â€™ã¯ã‚¨ã‚¹ã‚±ãƒ¼ãƒ—ã—ãªã„仕様ã«æ°—ãŒä»˜ã„ã¦ã„ãªã„プãƒã‚°ãƒ©ãƒžã‚‚多ã„ã‹ã‚‚ã—ã‚Œã¾ã›ã‚“。 å…ˆã»ã©ã€ŒUNIXç³»OSã§ã¯ã€ã¨æ›¸ãã¾ã—ãŸãŒWindowsã§ã¯ç•°ãªã‚‹å‹•ä½œã‚’ã—ã¾ã™ã€‚ã“ã®é–¢æ•°ã¯ä»•æ§˜ãŒã„ã„åŠ æ¸›ã§Windowsã®å ´åˆã¯â€ã¨â€™ã‚‚å•ç”無用ã§ã‚¨ã‚¹ã‚±ãƒ¼ãƒ—ã—ã¾ã™ã€‚ï¼ˆåŠ ãˆã¦%もエスケープã—ã¾ã™ï¼‰ã§ã™ã‹ã‚‰ã€å¾³ä¸¸ã•ã‚“ãŒæŒ‡æ‘˜ã•ã‚ŒãŸå•é¡Œã¯Windowsを使ã£ã¦ã„ã‚Œã°ç™ºç”Ÿã—ã¾ã›ã‚“。UNIXç³»ã¨Windowsã§å‹•ä½œãŒç•°ãªã‚‹ã€ã¨ã„ã†åŽ„介ãªé–¢æ•°ã§ã‚‚ã‚ã‚Šã¾ã™ã€‚(セã‚ュリティ
第36回 MOPS:コンテクストを検出ã™ã‚‹HTMLエスケープ | gihyo.jp
第32回 PHPã‚»ã‚ュリティ月間(Month of PHP Sercurity)ã§ã€ŒPHPã‚»ã‚ュリティ月間ã€ï¼ˆMOPS - Month of PHP Security)ã«ã¤ã„ã¦ç°¡å˜ã«ç´¹ä»‹ã—ã¾ã—ãŸã€‚ 今回もMOPS関連ã®è©±é¡Œã§ã™ã€‚MOPSã§ã¯PHP関連ã®ã‚»ã‚ュリティ製å“ã‚„ã‚»ã‚ュリティ知è˜ã®è«–文を募集ã—ã€11ã®è«–æ–‡ãŒå…¬é–‹ã•ã‚Œã¾ã—ãŸã€‚今回ã¯ã‚³ãƒ³ãƒ†ã‚¯ã‚¹ãƒˆã‚’検出ã—ã¦ã‚¨ã‚¹ã‚±ãƒ¼ãƒ—ã™ã‚‹ãƒ†ãƒ³ãƒ—レートエンジンã«ã¤ã„ã¦ç´¹ä»‹ã—ã¾ã™ã€‚ MOPS Submission 02 – Context-aware HTML escaping http://www.php-security.org/2010/05/05/mops-submission-02-context-aware-html-escaping/index.html ã“ã®ãƒ†ãƒ³ãƒ—レートエンジンã¯Nette Latteã¨å‘¼ã°ã‚Œã¦ã„ã¾ã™ã€‚ã“ã®ãƒ†ãƒ³ãƒ—レートエンジンを独
第40回 MOPS:安全性ã®é«˜ã„パスワードãƒãƒƒã‚·ãƒ¥ä½œæˆãƒ„ール - phpass | gihyo.jp
第32回 PHPã‚»ã‚ュリティ月間(Month of PHP Sercurity)ã§ã€ŒPHPã‚»ã‚ュリティ月間ã€ï¼ˆâ MOPS - Month of PHP Security)ã«ã¤ã„ã¦ç°¡å˜ã«ç´¹ä»‹ã—ã¾ã—ãŸã€‚ 今回ã¯ãƒ‘スワードを安全ã«ä¿å˜ã™ã‚‹ãƒ„ールã®ç´¹ä»‹ã§ã™ã€‚今ã¾ã§æ•°å›žã«æ¸¡ã£ã¦MOPSã®æˆæžœã®ä¸€éƒ¨ã‚’紹介ã—ã¦ãã¾ã—ãŸãŒã€ä»Šå›žã§æœ€å¾Œã§ã™ã€‚ MOPS Submission 10: How to manage a PHP application’s users and passwords http://www.php-security.org/2010/05/26/mops-submission-10-how-to-manage-a-php-applications-users-and-passwords/index.html ã“ã®è«–æ–‡ã¯1ä½ã‚’å–å¾—ã—ãŸè«–æ–‡ã§ã™ã€‚Drupal 7ã§ã“ã®ãƒ©ã‚¤ãƒ–ラリãŒåˆ©ç”¨ã•ã‚Œã¦ã„
æ–‡å—コードã«èµ·å› ã™ã‚‹è„†å¼±æ€§ã¨ãã®å¯¾ç–(増補版)
ã“ã¡ã‚‰ã®ã‚¹ãƒ©ã‚¤ãƒ‰ã¯ä»¥ä¸‹ã®ã‚µã‚¤ãƒˆã«ã¦é–²è¦§ã„ãŸã ã‘ã¾ã™ã€‚ https://www.docswell.com/s/ockeghem/ZM6VNK-phpconf2021-spa-security シングルページアプリケーション(SPA)ã«ãŠã„ã¦ã€ã‚»ãƒƒã‚·ãƒ§ãƒ³IDやトークンã®æ ¼ç´å ´æ‰€ã¯Cookieã‚ã‚‹ã„ã¯localStorageã®ã„ãšã‚ŒãŒè‰¯ã„ã®ã‹ãªã©ã€ã‚»ã‚ュリティ上ã®èª²é¡ŒãŒãƒãƒƒãƒˆä¸Šã§è°è«–ã•ã‚Œã¦ã„ã¾ã™ãŒã€æ®‹å¿µãªãŒã‚‰é–“é•ã£ãŸå‰æã«åŸºã¥ãã‚‚ã®ãŒå¤šã„よã†ã§ã™ã€‚ã“ã®ãƒˆãƒ¼ã‚¯ã§ã¯ã€SPAã®ã‚»ã‚ュリティを構æˆã™ã‚‹åŸºç¤ŽæŠ€è¡“を説明ã—ãŸå¾Œã€è‘—åãªãƒ•ãƒ¬ãƒ¼ãƒ ワークãªçŠ¶æ³ã¨ã‚¨ãƒ³ã‚¸ãƒ‹ã‚¢ã®æŠ€è¡“ç†è§£ã®ç¾çŠ¶ã‚’è¸ã¾ãˆã€SPAã‚»ã‚ュリティã®ç¾å®Ÿçš„ãªæ–¹æ³•ã«ã¤ã„ã¦èª¬æ˜Žã—ã¾ã™ã€‚ å‹•ç”»ã¯ã“ã¡ã‚‰ https://www.youtube.com/watch?v=pc57hw6haXk
RIPS - PHP Security Analysis
RIPS is a static code analysis tool for the automated detection of security vulnerabilities in PHP applications. It was released 2010 during the Month of PHP Security (www.php-security.org). NOTE: RIPS 0.5 development is abandoned. A complete rewrite with OOP support and higher precision is available at https://www.ripstech.com/next-generation/ Features detect XSS, SQLi, File disclosure, LFI/RFI,
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
{{#tags}}- {{label}}
{{/tags}}