2018å¹´ã®ãƒ‘スワードãƒãƒƒã‚·ãƒ¥ - Qiita
æ•°å¹´å‰ã§ã‚ã‚Œã°ä»•æ–¹ãªã‹ã£ãŸã¨ã“ã‚ã§ã™ãŒã€2018å¹´ã®ä»Šã¨ãªã£ã¦ã¯ã€ãƒ‘スワードãƒãƒƒã‚·ãƒ¥ã®æ‰‹å‹•è¨ˆç®—ã¯ã‚‚ã¯ã‚„"悪"ã§ã™ã€‚ ã¾ãšãƒã‚°ã‚¤ãƒ³èªè¨¼ã¨ç§°ã—ã¦md5ã¨ã‹sha1ã¨ã‹æ›¸ã„ã¦ã‚るソースã¯ã‚´ãƒŸãªã®ã§æŠ•ã’æ¨ã¦ã¾ã—ょã†ã€‚ hashã‚„cryptã¯ä¸Šè¨˜ã«æ¯”ã¹ã‚Œã°ãšã£ã¨ãƒžã‚·ã§ã™ãŒã€ä½¿ã„æ–¹ã«ã‚ˆã£ã¦ã¯ç°¡å˜ã«è„†å¼±ã«ãªã‚Šãˆã¾ã™ã€‚ ã‚ã¨ã€Žãƒ‘スワードを暗å·åŒ–ã™ã‚‹ã€ã£ã¦è¡¨ç¾ã—ã¦ã‚‹ã¨ã“ã‚も見ãªãã¦ã„ã„ã§ã™ã€‚ PHPã«ã¯ã€ãƒãƒƒã‚·ãƒ¥ã«é–¢ã‚る諸々ã®è½ã¨ã—穴を一発ã§è§£æ¶ˆã—ã¦ãれるpassword_hashã¨ã„ã†è¶…絶便利関数ãŒã‚ã‚‹ã®ã§ã€ã“れを使ã„ã¾ã™ã€‚ ã¨ã„ã†ã‹ã€ã“れ以外を使ã£ã¦ã¯ã„ã‘ã¾ã›ã‚“。 以下ã¯ãƒ•ãƒ¬ãƒ¼ãƒ ワークを使ã‚ãšã«å®Ÿè£…ã™ã‚‹éš›ã®ä¾‹ç¤ºã§ã™ã€‚ フレームワークを使ã£ã¦ã„ã‚‹å ´åˆã¯å½“然ãã®æµå„€ã«å¾“ã£ã¦ãŠãã¾ã—ょã†ã€‚ ãƒãƒƒã‚·ãƒ¥ã®å®Ÿè£… データベース ãƒ¦ãƒ¼ã‚¶æƒ…å ±ã‚’ä¿å˜ã™ã‚‹ãƒ†ãƒ¼ãƒ–ルを作æˆã—ã¾ã™ã€‚ パスワードカラムã®æ–‡å—æ•°ã¯ã€ã‚·ã‚¹ãƒ†ãƒ 上ã®ãƒ‘スワ
PHPã®ã‚»ãƒƒã‚·ãƒ§ãƒ³IDã¯æš—å·è«–çš„ã«å¼±ã„乱数生æˆå™¨ã‚’使ã£ã¦ãŠã‚Šã€ã‚»ãƒƒã‚·ãƒ§ãƒ³ãƒã‚¤ã‚¸ãƒ£ãƒƒã‚¯ã®å±é™ºæ€§ãŒã‚ã‚‹ : DSAS開発者ã®éƒ¨å±‹
下記ã®æ–‡ç« ã¯ã€PHPã®ã‚»ãƒƒã‚·ãƒ§ãƒ³IDã«å¯¾ã™ã‚‹æ”»æ’ƒã«ã¤ã„ã¦Full Disclosure MLã«2010å¹´ã«æŠ•ç¨¿ã•ã‚ŒãŸæ–‡ç« を和訳ã—ãŸã‚‚ã®ã§ã™ã€‚訳者ã®æ„見ã¨ã—ã¦ã¯ã€æ”»æ’ƒã®æˆç«‹æ¡ä»¶ã¯æ¥µã‚ã¦åŽ³ã—ãã€ãã“ã¾ã§æ·±åˆ»åº¦ã¯é«˜ããªã„ã¨è€ƒãˆã¦ã„ã¾ã™ã€‚ ã¨ã¯ã„ãˆã€ç–‘似乱数列ã¸ã®æ”»æ’ƒãŒã©ã®ã‚ˆã†ã«è¡Œã‚れるã®ã‹ã€ãã®å¯èƒ½æ€§ã‚’示ã™æ–‡ç« ã¯æ¯”較的çã—ã„ã‚‚ã®ã®ã‚ˆã†ã«æ€ã„ã¾ã™ã€‚æš—å·è«–çš„ã«å®‰å…¨ãªç–‘似乱数ã¨ã¯ä½•ã‹ã€ãªãœå¿…è¦ãªã®ã‹ã¨ã„ã£ãŸå†…容を間接的ã«æ•™ãˆã¦ãれるé¢ç™½ã„æ–‡ç« ã ã¨æ„Ÿã˜ã¾ã—ãŸã®ã§ã€ä»Šå›žç¿»è¨³ã—ã¦ã¿ã¾ã—ãŸã€‚ (以下ã€åŽŸæ–‡ã®å’Œè¨³ã§ã™ï¼‰ 原文:http://seclists.org/fulldisclosure/2010/Mar/519 Advisory (c) 2010 Andreas Bogk <andreas () andreas org> Product:PHP Version:5.3.2 ä»¥é™ è„†å¼±æ€§ã®ç¨®é¡ž:æš—å·è«–çš„ãª
デãƒãƒƒã‚¬ã‚’利用ã—ã¦Webアプリã®è„†å¼±æ€§ã‚’分æžã—ã¦ã¿ãŸ - ã¨ã‚る診æ–å“¡ã®å‚™å¿˜éŒ²
11/15ã«é–‹å‚¬ã•ã‚ŒãŸã“ã¡ã‚‰ã®å‹‰å¼·ä¼šã«å‚åŠ ã„ãŸã—ã¾ã—ãŸï¼ デãƒãƒƒã‚¬ã§WordPress本体やプラグインã®è„†å¼±æ€§ã‚’追ã„ã‹ã‘ã¦ã¿ã‚ˆã† - connpass ã“ã¡ã‚‰ã®å‹‰å¼·ä¼šã¯ã€ã€ŒWordPress本体ã¨ãƒ—ラグインã®è„†å¼±æ€§ã‚’デãƒãƒƒã‚¬ã§è¿½è·¡ã™ã‚‹ã“ã¨ã«ã‚ˆã‚Šã€è„†å¼±æ€§ã®ä¸èº«ã«ã¤ã„ã¦è©³ã—ã追跡ã—ã€ç†è§£ã‚’æ·±ã‚ã‚‹ã€ã¨ã„ã†å†…容ã®ã‚‚ã®ã§ã‚ã‚Šã€ãªã‚“ã¨ã‚ã®å¾³ä¸¸æµ©ã•ã‚“ãŒè¬›å¸«ã‚’ã•ã‚Œã¦ã„ã¾ã™ï¼ ç§å€‹äººã¨ã—ã¦ã¯ã€ä»•äº‹ã¨ã„ã†ã‹åŠåˆ†è¶£å‘³ã§ã‚†ã‚‹ã‚†ã‚‹è„†å¼±æ€§ã®æ¤œè¨¼ã‚’ã—ã¦ãŠã‚Šã€ä»Šå›žã®å‹‰å¼·ä¼šã¯ã¾ã•ã«è‡ªåˆ†ã®èˆˆå‘³åˆ†é‡Žã«ãƒ‰ãƒ³ãƒ”シャãªå†…容ã ã£ãŸã®ã§ã€éžå¸¸ã«æ¥½ã—ã‚“ã§å‚åŠ ã•ã›ã¦ã„ãŸã ãã¾ã—ãŸï½— ç§ã¯ã“ã¡ã‚‰ã®å‹‰å¼·ä¼šã«ãƒ–ãƒã‚°æž ã¨ã—ã¦å‚åŠ ã„ãŸã—ã¾ã—ãŸã®ã§ã€å‹‰å¼·ä¼šã®å†…容ã«ã¤ã„ã¦æœ¬ãƒ–ãƒã‚°ã«ã¦ãƒ¬ãƒãƒ¼ãƒˆã„ãŸã—ã¾ã™ã€‚ 分æžå¯¾è±¡ã®è„†å¼±æ€§ã«ã¤ã„㦠今回分æžã™ã‚‹é¡Œæã¨ãªã£ãŸè„†å¼±æ€§ã¯ä»¥ä¸‹ã®äºŒã¤ã§ã™ã€‚ ãªãŠã€äºŒã¤ã®è„†å¼±æ€§ã¨ã‚‚徳丸ã•ã‚“ãŒè©³ç´°ãªè§£èª¬è¨˜äº‹ã‚’ブãƒã‚°ã«ã¦å…¬é–‹ã•ã‚Œã¦ãŠã‚Šã¾ã™
CentOS6ã§PHP5.1.6を扱ãˆã‚‹Dockerファイルを書ã„ãŸï¼ˆWordPresså‘ã‘) - Qiita
WordPressã®ä»•äº‹ã‚’ã—ã¦ã„ã‚‹ã¨ã€ç¨€ã«PHP5.1.6ã¨ã‹ãŒå‹•ã„ã¦ã„るサーãƒãƒ¼ã®ãŠå®¢ã•ã‚“ã‹ã‚‰ä¾é ¼ã‚’é ‚ãã“ã¨ãŒã‚ã£ãŸã‚Šã™ã‚‹ã€‚ ã§ãã‚Œã°é–‹ç™ºç’°å¢ƒã¯ãŠå®¢ã•ã‚“ã®ã‚µãƒ¼ãƒãƒ¼ã¨ä¸€ç·’ã®çŠ¶æ…‹ã§é–‹ç™ºã—ãŸã„ã®ã§ã€PHP5.1+MySQL5.0ã®ç’°å¢ƒã‚’一発ã§æ§‹ç¯‰å‡ºæ¥ã‚‹Dockerファイルを書ã„ãŸã€‚ 仕様 CentOS 6.6 Apache 2 PHP 5.1.6 MySQL 5.0(動作未確èªï¼‰ SSHã§ãƒã‚°ã‚¤ãƒ³å¯ WordPresså‘ã‘ã«PHPã®æ‹¡å¼µãƒ¢ã‚¸ãƒ¥ãƒ¼ãƒ«ã¨ã‹httpd.confã¨ã‹php.iniã¨ã‹æœ€ä½Žé™ã®è¨å®šè¾¼ã¿ WP-CLIã¨ã‹Xdebugã¨ã‹Composerã¨ã‹ã¯ç’°å¢ƒãŒå¤ãã¦å‹•ã‹ãªãã†ã ã£ãŸã®ã§å…¥ã‚Œã¦ã„ãªã„。 Dockerfile FROM centos:6.6 MAINTAINER m.ietomi <jyokyoku@gmail.com> # TimeZoneã®è¨å®š RUN echo 'ZO
PHP5.3.3環境を2017å¹´ã«ç”¨æ„ã™ã‚‹æ–¹æ³• - Qiita
2017å¹´10月ã«PHP5.3.3環境を作るã®ã¯ã¨ã¦ã‚‚大変ã§ã—ãŸã€‚ PHP5.3ã¯ã™ã§ã«EOLã‚’è¿Žãˆã¦ã„ã‚‹ãŸã‚ã€ã‚»ã‚ュリティホールãŒä¿®æ£ã•ã‚Œãšã«æ®‹ã‚Šã†ã‚‹å±é™ºæ€§ãŒã‚ã£ãŸã‚Šã¨ãƒ—ãƒãƒ€ã‚¯ã‚·ãƒ§ãƒ³ã§ä½¿ã„続ã‘ã‚‹ã®ã¯å¤§å¤‰ã‚ˆã‚ã—ããªã„ã§ã™ãŒã€å¤§äººã®éƒ½åˆã§ã©ã†ã—ã¦ã‚‚å¿…è¦ã«ãªã£ã¦ã—ã¾ã„ã¾ã—ãŸã€‚ PHP5.3環境を構築ã™ã‚‹ã«ã‚ãŸã£ã¦ã€è©¦ã—ã¦ãƒ€ãƒ¡ã ã£ãŸã“ã¨ã¨ã€ä¸Šæ‰‹ãè¡Œã£ãŸã“ã¨ã¨ã‚’残ã—ã¦ãŠããŸã„ã¨æ€ã„ã¾ã™ã€‚ 試ã—ã¦ã™ã‚“ãªã‚Šã§ããªã‹ã£ãŸã“㨠Homebrewã®brew install php53 ãªãœã‹/usr/local/bin/phpã ã‘ãŒä½œã‚‰ã‚Œãšã€‚ macOSã‚’High Sierraã«ã‚¢ãƒƒãƒ—デートã—ãŸã›ã„ã‹ï¼Ÿ Sierraã®ã¨ãã¯ã“ã‚Œã§è¡Œã‘ãŸã€‚ åŒåƒšã‹ã‚‰Celler内ã®php5.3.29ã‚’ã¾ã‚‹ã£ã¨ã‚‚らã£ãŸãŒã€æ‹¡å¼µãŒä¸Šæ‰‹ã入らãšã€‚ Docker Hubå…¬å¼ã®php:5.3-cli 5.3.29未満ã¯æä¾›ã•ã‚Œã¦ãŠã‚‰ãš
PHP Object Injection Attack / PHPオブジェクトインジェクションã®æ”»æ’ƒ - http80
PHPオブジェクトインジェクション(PHP Object Injection)攻撃ã«é–¢ã—ã¦ã¾ã¨ã‚ã¾ã—ãŸã€‚Webã®ã‚¤ãƒ³ã‚¸ã‚§ã‚¯ã‚·ãƒ§ãƒ³æ”»æ’ƒã¨ã„ã†ã¨ã€SQLインジェクションやOSコマンドインジェクションãªã©ãŒå…ˆã«æ€ã„æµ®ã‹ã³ã¾ã™ãŒã€PHPã«ã¯ã‚ªãƒ–ジェクトインジェクションã¨å‘¼ã°ã‚Œã‚‹ã‚‚ã®ãŒã‚ã‚Šã¾ã™ã€‚ PHPã«ãŠã‘るオブジェクトインジェクションã¯ã€ãƒ‡ãƒ¼ã‚¿ã®ã‚·ãƒªã‚¢ãƒ©ã‚¤ã‚ºã«é–¢ä¿‚ã™ã‚‹unserialize関数を使用ã—ã¦ã„ã‚‹å ´åˆã€å¤–部ã‹ã‚‰å®‰å…¨ã§ãªã„シリアライズã•ã‚ŒãŸå€¤ãŒæ³¨å…¥ã•ã‚Œã‚‹ã“ã¨ã«ã‚ˆã‚Šã€è„†å¼±æ€§ã«ãªã‚Šã†ã‚‹å¯èƒ½æ€§ãŒã‚ã‚Šã¾ã™ã€‚ã©ã®ã‚ˆã†ãªå½±éŸ¿ãŒã‚ã‚‹ã‹ã©ã†ã‹ã¯ã€ã‚³ãƒ¼ãƒ‰ã®æ›¸ãæ–¹ã«ã‚ˆã£ã¦æ§˜ã€…ã§ã™ã€‚ 本稿ã¯ã€ç‹¬è‡ªã®æ¤œè¨¼ã€èª¿ã¹ã«ã‚ˆã‚‹ã‚‚ã®ã®ãŸã‚ã€åŽ³å¯†ã«ã¯èª¤ã‚Šã§ã‚ã£ãŸã‚Šã€ãã‚‚ãã‚‚é•ã£ã¦ã„ã‚‹ã¨ã„ã†ã“ã¨ãŒã‚ã‚‹ã‹ã‚‚ã—ã‚Œã¾ã›ã‚“。 â—脆弱性をå†ç¾ã™ã‚‹ã‚³ãƒ¼ãƒ‰ ç°¡å˜ã«è„†å¼±æ€§ã‚’å†ç¾ã™ã‚‹ã‚³ãƒ¼ãƒ‰ã‚’用æ„ã—ã¾ã—ãŸã€‚次ã®æ”»æ’ƒã‚·ãƒŠãƒªã‚ªã¯ãƒãƒ¼ã‚«ãƒ«ã®hostsフ
Joomla!ã®ã€Œã‚¼ãƒãƒ‡ã‚¤ã‚³ãƒ¼ãƒ‰å®Ÿè¡Œè„†å¼±æ€§ã€ã¯PHPã®æ—¢çŸ¥ã®è„†å¼±æ€§ãŒåŽŸå›
Joomla!ã«ã‚³ãƒ¼ãƒ‰å®Ÿè¡Œè„†å¼±æ€§(CVE-2015-8562)ãŒã‚ã‚Šã€ãƒ‘ッãƒå…¬é–‹å‰ã‹ã‚‰æ”»æ’ƒãŒè¦³æ¸¬ã•ã‚Œã¦ã„ãŸã¨è©±é¡Œã«ãªã£ã¦ã„ã¾ã™ã€‚ Joomlaã«æ·±åˆ»ãªè„†å¼±æ€§ã€ãƒ‘ッãƒå…¬é–‹2æ—¥å‰ã‹ã‚‰æ”»æ’ƒæ¨ªè¡Œ 「Joomla!ã€ã«å†ã³æ·±åˆ»ãªè„†å¼±æ€§ã€3.4.6ã¸ã®é€Ÿã‚„ã‹ãªã‚¢ãƒƒãƒ—デートを推奨 パッãƒå…¬é–‹ã®å‰ã«æ”»æ’ƒãŒå§‹ã¾ã‚‹çŠ¶æ…‹ã‚’「ゼãƒãƒ‡ã‚¤è„†å¼±æ€§ã€ã¨è¨€ã„ã¾ã™ãŒã€ãã‚Œã§ã¯ã€ã“ã®è„†å¼±æ€§ã®ãƒ¡ã‚«ãƒ‹ã‚ºãƒ ã¯ã©ã‚“ãªã‚‚ã®ã ã‚ã†ã‹ã¨æ€ã„ã€èª¿ã¹ã¦ã¿ã¾ã—ãŸã€‚ çµè«–ã‹ã‚‰è¨€ãˆã°ã€ã“ã®å•é¡Œã¯Joomla!å´ã«é‡å¤§ãªè„†å¼±æ€§ã¯ãªãã€PHPã®æ—¢çŸ¥ã®è„†å¼±æ€§(CVE-2015-6835)ãŒåŽŸå› ã§ã—ãŸã®ã§å ±å‘Šã—ã¾ã™ã€‚ exploitを調ã¹ã¦ã¿ã‚‹ æ—¢ã«ã“ã®å•é¡Œã®exploitã¯å…¬é–‹ã•ã‚Œã¦ã„ã¾ã™ãŒã€æ‚ªã„åãŒçœŸä¼¼ã™ã‚‹ã¨ã„ã‘ãªã„ã®ã§URLç‰ã¯å‰²æ„›ã—ã¾ã™ã€‚以下ã®ãƒšãƒ¼ã‚¸ã§ã¯æ”»æ’ƒã®åŽŸç†ãŒèª¬æ˜Žã•ã‚Œã¦ã„ã¾ã™ã€‚ Vulnerability Details: Joomla! Re
本当㫠PHP ã® DoS 脆弱性 (CVE-2015-4024) ã‚ツããªã„? - ã¯ã¡ã‚…ã«ã£ã
hakaikosen.hateblo.jp 上記記事を「ã‚ら大変(棒èªã¿)ã€ã¨ã‹æ€ã„ãªãŒã‚‰èªã‚“ã§ã„ãŸã‘ã‚Œã©ã€PHP ã® BTS ã®æ–¹ã‚’èªã‚“ã§ã¿ãŸã‚‰ç¢ºã‹ã«åŽŸç†ã‹ã‚‰å†ç¾æ‰‹é †ã¾ã§ç´°ã‹ã記載ã•ã‚Œã¦ã„㦠「ãªã‚“ã‹ã“ã‚Œã¾ãšãã†ã€ã¨æ€ã£ãŸã®ã§ã€docker を使ã£ã¦æ¤œè¨¼ã—ã¦ã¿ã‚‹ã“ã¨ã«ã€‚ PHP 入り㮠Docker コンテナã¯ã€Official ã®ã‚‚ã®ã‚’利用ã—ã¾ã—ãŸã€‚registry.hub.docker.com 今回ã®è„†å¼±æ€§ã€POST ã—ãªã„ページã«ã¯é–¢ä¿‚ãªã„ã®ã‹ãªï¼Ÿã¨æ€ã£ã¦ã¾ã—ãŸãŒã€ã‚ˆãよã見る㨠PHP ã•ãˆå‹•ãページã§ã‚ã‚Œã°ãªã‚“ã§ã‚‚ã„ã„らã—ã„。 ã¨ã„ã†ã“ã¨ã§ä»¥ä¸‹ã®ã‚ˆã†ãª PHP ファイルを用æ„ã—ã€ã“ã“ã«ã‚¢ã‚¯ã‚»ã‚¹ (攻撃) ã‚’ã—ã¾ã™ã€‚ htdocs/index.php <!DOCTYPE html> <html> <head> <title>PHP Bugs #69364</title> </he
Security GO | サイãƒãƒ¼ã‚»ã‚ュリティリーダーã®é¸æŠžã¨æ±ºæ–を支æ´
XDRã€Agentic SIEMã€Agentic SOARã§åŽé›†ã—ãŸæƒ…å ±ã‹ã‚‰æ”»æ’ƒã®ç«¯ç·’ã‚’å¯è¦–化ã€é˜²æ¢ã€‚攻撃者ã«éš れる余地を与ãˆã¾ã›ã‚“。 詳ã—ãã¯ã“ã¡ã‚‰
PHPã«ãŠã‘るオブジェクトインジェクション脆弱性ã«ã¤ã„㦠— A Day in Serenity (Reloaded) — PHP, CodeIgniter, FuelPHP, Linux or something
SQLインジェクションã¯ã‹ãªã‚Šæœ‰åã«ãªã‚Šã¾ã—ãŸãŒã€ã‚ªãƒ–ジェクトインジェクションã¯ã¾ã ã‚ã¾ã‚Šèžã‹ãªã„ã®ã§ã€ã¾ã¨ã‚ã¦ãŠãã¾ã™ã€‚ Dependency Injection(DI)ã¨ã¯é–¢ä¿‚ã‚ã‚Šã¾ã›ã‚“。 オブジェクトインジェクション脆弱性ã¨ã¯ï¼Ÿ SQLインジェクションãŒå¤–部ã‹ã‚‰SQL文を注入ã™ã‚‹æ”»æ’ƒã§ã‚ã‚‹ã®ã¨åŒã˜ã‚ˆã†ã«ã€ã‚ªãƒ–ジェクトインジェクションã¨ã¯å¤–部ã‹ã‚‰ã‚ªãƒ–ジェクトを注入ã™ã‚‹æ”»æ’ƒã§ã™ã€‚ 外部ã‹ã‚‰ã‚ªãƒ–ジェクトを注入ã§ãã‚Œã°ã€ãã®ã‚ªãƒ–ジェクトã®æ©Ÿèƒ½ã«ã‚ˆã‚Šã•ã¾ã–ã¾ãªæ”»æ’ƒãŒã§ãã‚‹å¯èƒ½æ€§ãŒã‚ã‚Šã¾ã™ã€‚最悪ã®å ´åˆã€ä»»æ„ã®ã‚³ãƒ¼ãƒ‰ã‚’実行ã§ãる脆弱性ã«ãªã‚Šã¾ã™ã€‚ PHPã®å ´åˆã€ã“ã®æ”»æ’ƒãŒå¯èƒ½ãªã®ã¯ã€unserialize()関数を悪用ã§ãã‚‹å ´åˆã§ã™ã€‚ 攻撃ã®æ–¹æ³• unserialize()関数ã«å¤–部ã‹ã‚‰ä»»æ„ã®ãƒ‡ãƒ¼ã‚¿ã‚’渡ã™ã‚³ãƒ¼ãƒ‰ãŒã‚ã£ãŸå ´åˆã€æ”»æ’ƒè€…ã¯è‡ªç”±ã«ã‚·ãƒªã‚¢ãƒ©ã‚¤ã‚ºã•ã‚ŒãŸãƒ‡ãƒ¼ã‚¿ã‚’é€ä¿¡ã™ã‚‹ã“ã¨ã§ã€ç”Ÿæˆã•ã‚Œã‚‹ã‚ªãƒ–ジェ
Linux 25 PHP Security Best Practices For Sys Admins
PHP is an open-source server-side scripting language, and it is a widely used. The Apache/Nginx/Lighttpd web server provides access to files and content via the HTTP OR HTTPS protocol. A misconfigured server-side scripting language can create all sorts of problems. So, PHP should be used with caution. Here are twenty-five php security best practices for Linux and Unix sysadmins for configuring PHP
CGI版PHPã«å¯¾ã™ã‚‹é”法少女アパッãƒãƒžã‚®ã‚«æ”»æ’ƒã‚’観測ã—ã¾ã—ãŸ
昨夜ã«ã€é”法少女アパッãƒâ˜†ãƒžã‚®ã‚«æ”»æ’ƒã‚’観測ã—ã¾ã—ãŸã€‚é”法少女アパッãƒâ˜†ãƒžã‚®ã‚«ã¨ã¯ã€PoCã®ã‚½ãƒ¼ã‚¹ã‚³ãƒ¼ãƒ‰ã«Â Apache Magica by Kingcope ã¨ã‚³ãƒ¡ãƒ³ãƒˆã•ã‚Œã¦ã„ã‚‹ã“ã¨ã«ç”±æ¥ã—ã¦ã„ã¾ã™ï¼ˆã¨ã„ã†ã‹ã€ç§ãŒãã†è¨³ã—ã¾ã—ãŸw)。 ã“ã‚Œã¯10月29æ—¥ã«PoCãŒç™ºè¡¨ã•ã‚ŒãŸPHP-CGI攻撃(CVE-2012-1823)ã®å¤‰ç¨®ã§ã™ã€‚従æ¥ã®PHP-CGI攻撃ã¯ã€CGI版PHPãŒå‹•ä½œã™ã‚‹ç’°å¢ƒã§ã€PHPスクリプト(ä¸èº«ã¯ãªã‚“ã§ã‚‚よã„)ã«å¯¾ã™ã‚‹æ”»æ’ƒã§ã—ãŸãŒã€é”法少女アパッãƒãƒžã‚®ã‚«ã®æ–¹ã¯ã€/cgi-bin/ã«ç½®ã‹ã‚ŒãŸPHP処ç†ç³»ï¼ˆphp-cgiãªã©ï¼‰ã«ç›´æŽ¥æ”»æ’ƒã™ã‚‹ã‚‚ã®ã§ã™ã€‚ CGI版PHPã‚’è¨ç½®ã™ã‚‹æ–¹æ³•ã¯è¤‡æ•°ã‚ã‚Šã¾ã™ãŒã€ã‚ˆã使ã‚れる方法ã¨ã—ã¦Apacheã®ãƒªãƒ€ã‚¤ãƒ¬ã‚¯ãƒˆã«ã‚ˆã‚ŠPHPスクリプトをPHP処ç†ç³»ã«å®Ÿè¡Œã•ã›ã‚‹æ–¹æ³•ãŒã‚ã‚Šã¾ã™ã€‚ã“ã®å ´åˆã€/cgi-bin/php-cgiãªã©ã¨ã—ã¦PHP処ç†ç³»ã‚’公開
CGI版PHPã«ãƒªãƒ¢ãƒ¼ãƒˆã‹ã‚‰ã‚¹ã‚¯ãƒªãƒ—ト実行を許ã™è„†å¼±æ€§(CVE-2012-1823)
CGI環境ã§PHPを動作ã•ã›ã¦ã„るサイトã«ã¯ã€ãƒªãƒ¢ãƒ¼ãƒˆã‹ã‚‰ã‚¹ã‚¯ãƒªãƒ—ト実行を許ã—ã¦ã—ã¾ã†è„†å¼±æ€§ãŒã‚ã‚Šã¾ã™ã€‚php.netã‹ã‚‰æä¾›ã•ã‚Œã¦ã„ã‚‹ä¿®æ£ãƒªãƒªãƒ¼ã‚¹(PHP 5.3.12 / PHP 5.4.2)ã¯ä¸å®Œå…¨ãªãŸã‚ã€è©²å½“ã™ã‚‹ã‚µã‚¤ãƒˆã¯è‡³æ€¥å›žé¿ç–ã‚’å°Žå…¥ã™ã‚‹ã“ã¨ã‚’推奨ã—ã¾ã™ã€‚ æ¦‚è¦ CGIã®ä»•æ§˜ã¨ã—ã¦ã€ã‚¯ã‚¨ãƒªæ–‡å—列ã«ç‰å·ã‚’å«ã‚ãªã„å ´åˆã¯ã€ã‚¯ã‚¨ãƒªæ–‡å—列ãŒCGIスクリプトã®ã‚³ãƒžãƒ³ãƒ‰ãƒ©ã‚¤ãƒ³å¼•æ•°ã¨ã—ã¦æŒ‡å®šã•ã‚Œã¾ã™ã€‚ 例ãˆã°ã€http://example.jp/test.cgi?foo+bar+bazã¨ã„ã†å‘¼ã³å‡ºã—ã«å¯¾ã—ã¦ã¯ã€test.cgiã¯ä»¥ä¸‹ã®ã‚³ãƒžãƒ³ãƒ‰ãƒ©ã‚¤ãƒ³ã§å‘¼ã³å‡ºã•ã‚Œã¾ã™ã€‚ test.cgi foo bar baz ã“ã®ä»•æ§˜ã‚’悪用ã—ã¦ã€CGI版ã®PHPã«ã‚³ãƒžãƒ³ãƒ‰ãƒ©ã‚¤ãƒ³å¼•æ•°ã¨ã—ã¦PHPã®ã‚ªãƒ—ションを指定ã§ãã¾ã™ã€‚例ãˆã°ã€http://example.jp/test.php?-s ã¨ã„ã†ãƒªã‚¯ã‚¨ã‚¹ãƒˆã¯ã€-s
ランã‚ング
ランã‚ング
ãŠçŸ¥ã‚‰ã›
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
CVV #1: Local File Inclusion
awesome-security-trivia/Tricky-ways-to-exploit-PHP-Local-File-Inclusion.md at master · qazbnm456/awesome-security-trivia
GitHub - sektioneins/pcc: PHP Secure Configuration Checker
GitHub - Eidwinds/a_and_d_vulnerable_web: Vulnerable Web App
PHP Applications, WordPress Subject to Ghost glibc Vulnerability
http://blog.uu59.org/2012-02-18-prefork-mpm-with-php.html
RegExp in preg_match function returning browser error
{{#tags}}- {{label}}
{{/tags}}