タグ yohgaki's blog
人気順 5 users 10 users 100 users 500 users 1000 users正規表現でのメールアドレスチェックは見直すべき – ReDoS | yohgaki's blog
2017/01/24
167 users
StackExchange
ReDoS
エントリ
Ruby
(更新日: 2016/10/19) 前のエントリで StackExchangeがReDoSで攻撃されサイトがダウンした問題 を紹介しました。少しだけ掘り下げて見たところ、正規表現だけでメールアドレスをチェックしている場合、壊滅的なReDoS(十分短い文字列で指数関数的に実行時間が増加する)が可能なことが判りました。 結論を書くと、正規表現でのメールアドレスチェックは見直すべき、です。(特にRuby... 続きを読む
画像ファイルにJavaScriptを隠す | yohgaki's blog
2015/09/09
325 users
JavaScript
画像ファイル
エントリ
スクリプト
前回
前回のエントリでイメージファイルにスクリプトを埋め込んで攻撃する方法について記載しましたが、最近イメージファイルにスクリプトを埋め込む事例が話題になったためか ha.ckersにJavaScriptをイメージファイルに隠す方法が紹介されています。http://ha.ckers.org/blog/20070623/hiding-js-in-valid-images/ 続きを読む
徳丸さんのブログに対するコメント | yohgaki's blog
2015/06/30
54 users
徳丸さん
コメント
ブログ
sha1がトークン、createdが生成日時を保持します。 シンプルな構造ですが、これだとトークンは、ユーザーやセッションを超えて、アプリケーション全体で共通になっています。これはまずそうですね。 トークンをホテルの部屋の鍵に例えると、こうです。大垣方式の鍵は、ホテルの全ての部屋に共通で使える鍵です。本来は、鍵は特定の1部屋のみに使えるべきですが、そうなっていないのです複数ユーザーの場合、セッショ... 続きを読む
徳丸さんのブログでの全く間違った指摘に対するコメント | yohgaki's blog
2015/06/30
54 users
徳丸さん
指摘
トークン
余地
定義
徳丸さんとは論理的に議論をする余地がないので、議論をするつもりは全くありません。しかし、完全に間違った指摘をされているのでコメントしておきます。問題のブログはこちらです。書籍『Webアプリケーションセキュリティ対策入門』のCSRF脆弱性トークンの有効範囲は?トークンがDBに保存される場合、トークンの有効範囲が気になるところです。大垣本および第二版のソースを見ると、トークンを保存するテーブルの定義は... 続きを読む
ほぼ全てのインジェクション攻撃を無効化/防止する入力バリデーション | yohgaki's blog
2015/06/15
487 users
インジェクション攻撃
入力バリデーション
全て
セキ
定義
入力バリデーションはセキュリティ対策として最も重要なセキュリティ対策です。なぜセキュリティ対策であるのか?を理解していない方も見かけますが「ほぼ全てのインジェクション攻撃を無効化/防止する入力バリデーション」の効果と拡張方法を見れば解るのではないでしょうか?ソフトウェア開発者が知っておくべきセキュリティの定義/標準/ガイドで紹介しているセキュリティガイドラインでは入力バリデーションが最も重要なセキ... 続きを読む
ソフトウェア開発者が知っておくべきセキュリティの定義/標準/ガイド | yohgaki's blog
2015/06/02
102 users
定義
標準
ガイド
ソフトウェア開発者
セキュリ
単純にこういった定義や標準があります、と紹介してもなかなか原文を参照することは敷居が高いです。このブログでも色々紹介できてきたので、ソフトウェア開発者が知っておくべきセキュリティの定義/標準/ガイドなどをまとめて紹介します。セキュリティ対策の定義そもそも定義を間違えていたら、ボタンの掛け違いは止まりません。まず、正しい定義を理解しなけばなりません。ソフトウェアのセキュリティといっても、他のセキュリ... 続きを読む
SHA1でハッシュ化したパスワードは危険になった | yohgaki's blog
2015/04/20
199 users
SHA1
org
ハッシュ化
パスワード
アメリカ政府
パスワードを平文で保存するのは論外で、MD5やSHA1でハッシュ化するのは当たり前です。しかし、SHA1を2000倍早くクラックする方法などが発見され「SHA1は脆弱だ」(ちなみにMD5はもっと危険)とされてからしばらく経ちます。アメリカ政府や大手企業はSHA1は使わない、としています。 # Slashdot.orgにまた載っているので更に高速化できた、と言うことかな?前のエントリhttp://b... 続きを読む
徳丸浩氏との長年の議論に終止符 – 論理的/体系的セキュリティとそれ以外 | yohgaki's blog
2015/02/15
168 users
終止符
徳丸浩氏
WAF
議論
ベストプラクティス
私が長年徳丸さんと議論していることをご存知の方も多いと思います。徳丸さんがなぜ論理的に矛盾する主張、明らかにセキュリティ標準規格/ベストプラクティスに反する主張を繰り返えしたのか、その理由が判明しました。それと同時に長年の議論に終止符が打たれ、徳丸さんの考えを完全に理解することができましたと思われます。 徳丸さんがセキュリティ対策製品であるWAF(Web Application Firewall)... 続きを読む
PHP7の現状 | yohgaki's blog
2015/01/26
232 users
現状
PHP7
unicode
PHP
バージョン
PHP7が今年の秋リリースされる予定です。まだまだ多くの変更が行われる予定ですが、現状を簡単にまとめてみたいと思います。代表的な物のみ取り上げています。 ご存知ない方の為に書いておきます。現在リリースされているPHPはPHP5です。次のPHPはPHP7になり、PHP6はリリースされません。PHP6をUnicodeをネイティブ文字列としてサポートするバージョンとして開発されましたが、文字エンコーディ... 続きを読む
ActiveRecordのSQLインジェクションパターン | yohgaki's blog
2014/05/09
204 users
ActiveRecord
Exists
params
出典
Railsで多用されているActiveRecordのインジェクションパターンを簡単に紹介します。出典はrails-sqli.orgなのでより詳しい解説はこちらで確認してください。特に気をつける必要があると思われる物のみをピックアップしました。 Exists?メソッド Ruby User.exists? params[:user] 012 User.exists? params[:user] pa... 続きを読む
間違いだらけのHTTPセッション管理とその対策 | yohgaki's blog
2014/02/20
216 users
間違いだらけ
バリデーション
対策
エントリ
中核
HTTPセッション管理はWebセキュリティの中核と言える機能です。Webセキュリティの中核であるHTTPセッション管理に設計上のバグがある事は少なくありません。今回のエントリはPHP Webアプリ開発者ではなく、主にWebフレームワーク側の開発者、つまりPHP本体の方に間違いがあるという話しです。Webアプリ開発者の回避策も紹介します。 まずセキュリティの基本として「入力のバリデーションを行い、正... 続きを読む
PHP本体でタイミング攻撃を防御できるようになります | yohgaki's blog
2014/02/12
117 users
サイドチャ
アプリケーション
副産物
PHP本体
コンピュータ
PHP 5.6からタイミング攻撃に対する対策が導入されます。メジャーなアプリケーションはタイミング攻撃対策が導入されていますが、PHP 5.6から簡単に対策できるようになります。 タイミング攻撃とは、コンピュータが動作する時間の違いを測って攻撃する手法です。コンピュータの動作時間、温度、音、電子ノイズ、電力使用量など、アルゴリズム自体の脆弱性を攻撃するのではなく副産物を利用する攻撃方法でサイドチャ... 続きを読む
タグ検索するならPostgreSQLで決まり! | yohgaki's blog
2013/12/12
167 users
PostgreSQL
RDB
表題
エントリ
タグ
PostgreSQL Advent Calender 2013、13日目のエントリです。 表題の通り「タグ検索するならPostgreSQLで決まり!」です。 RDBはタグが苦手 WebアプリではRDBでは取り扱いづらいデータを取り扱う事がよくあります。タグの管理・検索はその一つです。 RDBはタグ情報の管理・検索をしっかりやれますが、どちらかと言うと苦手な分野です。しかし、PostgreSQLの ... 続きを読む
IPAの「安全なSQLの呼び出し方」が安全になっていた | yohgaki's blog
2013/12/04
84 users
IPA
SQL
セキュ
vuln
エントリ
IPAは「安全なSQLの呼び出し方」(PDF)を以下のURLから公開しています。 http://www.ipa.go.jp/security/vuln/websecurity.html 「安全なSQLの呼び出し方」は危険である、とするエントリを書こうかと思い、久しぶりに内容を確認すると改定されていました。 古い「安全なSQLの呼び出し方」は基本中の基本である「正確なSQL文の組み立て」によるセキュ... 続きを読む
PHP 5.6の新機能 | yohgaki's blog
2013/12/02
91 users
新機能
PHP 5.6
PHP Advent Calender 2013、3日目の参加エントリです。前日のPHP の配列を使った手品とその種明かしに続き3日目です。PHPの配列(ハッシュ)のキーはバイナリセーフなので何でも入れられる、ということはあまり知られていないですよね。面白い話だったと思います。 私のネタには面白さはありません。予めご了承ください さて今日のテーマのPHP5.6新機能です。PHPプロジェクトのgit... 続きを読む
yohgaki's blog - これからのプログラムの作り方 - 文字エンコーディング検証は必須
2006/06/12
159 users
プログラム
必須
SJIS
作り方
PostgreSQL
最近PostgreSQL、MySQL両方にSJISエンコーディングを利用している際のエスケープ方法の問題を修正がリリースされています。この件は単純に「データベースシステムにセキュリティ上の脆弱性があった」と言う問題ではなく「アプリケーションの作り方を変える必要性」を提起した問題です。 PostgreSQL、MySQLの脆弱性は特にSJIS等、マルチバイト文字に\が含まれる文字エンコーディングが大き... 続きを読む
yohgaki's blog - PHPのSession Fixation問題
2006/02/05
111 users
PHP
セッシ
バッチ
セッション
セッション管理
PHPのセッション管理はセッションの固定化(Session Fixation)に脆弱であることは広く知れらていると思っていました。先日、php-users(ja)のMLに「Hardened PHPプロジェクトのStefanさんのパッチにSQLite Sessionモジュール用のセッションセーブハンドラパッチを追加したパッチを公開しました」と投稿しました。しかし、ダウンロード数等から推測するとセッシ... 続きを読む