はてブログ

はてなブックマーク新着エントリーの過去ログサイトです。



タグ 大垣さん

新着順 人気順 5 users 10 users 50 users 100 users 500 users 1000 users
 
(1 - 10 / 10件)
 

EximのGHOST脆弱性の影響とバリデーションの関係 | 徳丸浩の日記

2015/02/03 このエントリーをはてなブックマークに追加 154 users Instapaper Pocket Tweet Facebook Share Evernote Clip Exim gethostbyname バリデーション 徳丸浩

2015年2月3日火曜日 EximのGHOST脆弱性の影響とバリデーションの関係 大垣さんのブログエントリ「GHOSTを使って攻撃できるケース」を読んだところ、以下のようなことが書いてありました。 1. ユーザー入力のIPアドレス(ネットワーク層のIPアドレスではない)に攻撃用データを送る。 2. バリデーション無しで攻撃用の不正なIPアドレスをgethostbyname()に渡される。 3. ヒ... 続きを読む

PHP考古学: PHP4.2.xではmb_eregは複数行モードで動作していた | 徳丸浩の日記

2014/04/11 このエントリーをはてなブックマークに追加 14 users Instapaper Pocket Tweet Facebook Share Evernote Clip 徳丸浩 バリデーション 挙動 正規表現 日記

2014年4月11日金曜日 PHP考古学: PHP4.2.xではmb_eregは複数行モードで動作していた 大垣さんのブログエントリに刺激を得て、古いmb_eregの挙動を調査しました。その結果、 PHP4.2.x上のmb_eregは複数行モードで動作していたことが分かりましたので報告します。 前回までのまとめ 「正規表現によるバリデーションでは ^ と $ ではなく \A と \z を使おう」に... 続きを読む

徳丸浩の日記: 正規表現によるバリデーションでは ^ と $ ではなく \A と \z を使おう

2014/03/04 このエントリーをはてなブックマークに追加 1203 users Instapaper Pocket Tweet Facebook Share Evernote Clip バリデーション perl ワナ 徳丸浩 Ruby

正規表現によるバリデーション等で、完全一致を示す目的で ^ と $ を用いる方法が一般的ですが、正しくは \A と \z を用いる必要があります。Rubyの場合 ^ と $ を使って完全一致のバリデーションを行うと脆弱性が入りやすいワナとなります。PerlやPHPの場合は、Ruby程ではありませんが不具合が生じるので \A と \z を使うようにしましょう。 はじめに 大垣さんのブログエントリ「P... 続きを読む

大垣さん、自分のしたことを分かっていますか?」 - Togetterまとめ

2013/12/16 このエントリーをはてなブックマークに追加 145 users Instapaper Pocket Tweet Facebook Share Evernote Clip Togetterまとめ 自分

オレオレSQLセキュリティ教育は論理的に破綻している http://t.co/xCrXobCbbS 貴方が普段言っている事が間違っている」と非難または攻撃しているのではありません。実務で「プリペアードクエリ・プレイスホルダ・ORMを使いましょう」と言うことは全く間違っていません。 続きを読む

PHP5.5.2以降のstrict sessionsモードでセッションフィクセイション対策はどうすればよいか | 徳丸浩の日記

2013/08/26 このエントリーをはてなブックマークに追加 31 users Instapaper Pocket Tweet Facebook Share Evernote Clip 徳丸浩 strict sessions エントリ 速報 日記

2013年8月26日月曜日 PHP5.5.2以降のstrict sessionsモードでセッションフィクセイション対策はどうすればよいか 先日のエントリ『【速報】PHP-5.5.2にて大垣さんのstrict sessionsが実装されました』にて、PHP5.5.2でセッションアダプションが解消されたことを報告しました(session.use_strict_mode=1の場合)。 セッションアダプシ... 続きを読む

【速報】PHP-5.5.2にて大垣さんのstrict sessionsが実装されました | 徳丸浩の日記

2013/08/17 このエントリーをはてなブックマークに追加 53 users Instapaper Pocket Tweet Facebook Share Evernote Clip strict sessions 徳丸浩 yohgaki 速報

2013年8月17日土曜日 【速報】PHP-5.5.2にて大垣さんのstrict sessionsが実装されました 大垣さんのツイートで、strict sessionsがPHPにマージされることを知りました。 やっとStrict Sessionがマージされました。8年越しです。... http://t.co/ZBuVTHunqy — Yasuo Ohgaki (大垣靖男) (@yohgaki) A... 続きを読む

Strong Parameters の説明がバグっておられる件 - nappa_zzz's diary

2013/07/09 このエントリーをはてなブックマークに追加 34 users Instapaper Pocket Tweet Facebook Share Evernote Clip Strong Parameters パク Rails 4

2013-07-09 Strong Parameters の説明がバグっておられる件 大垣さんの Rails4 Security (岡山Ruby会議02)の発表資料のうち、Strong Parameters の説明 (p20〜p30) は誤っておりますので、説明をしてみたいと思います。 Rails 4 を使って開発をした経験がある方ならわかるかと思いますが、Strong Parameters に「... 続きを読む

徳丸浩の日記: PHPのescapeshellcmdを巡る冒険

2012/04/09 このエントリーをはてなブックマークに追加 46 users Instapaper Pocket Tweet Facebook Share Evernote Clip 徳丸浩 PHP 冒険 決着 日記

2012年4月9日月曜日 PHPのescapeshellcmdを巡る冒険 以前、ブログ記事「PHPのescapeshellcmdの危険性」にて、escapeshellcmd関数の「余計なお世話」によって危険性が生まれていることを指摘しましたが、その後大垣さんによって修正案が提示され、結局「それはマニュアルの間違い」ということで決着が着いたようです。ところが、この議論とは別のところで、escapes... 続きを読む

大垣本を読んで「バリデーションはセキュリティ対策」について検討した - ockeghem(徳丸浩)の日記

2011/12/25 このエントリーをはてなブックマークに追加 140 users Instapaper Pocket Tweet Facebook Share Evernote Clip 所作 エントリ ockeghem 入力バリデーション 観点

このエントリでは、セキュリティの観点から、バリデーション実装について検討します。大垣さんの本を読んで「大垣流バリデーション」について勉強した結果を報告します。はじめに大垣さんの記事「入力バリデーションはセキュリティ対策」では、「入力バリデーションはセキュリティ対策である」が力説されています。この記事はおそらくid:ajiyoshiさんのブログ記事「妥当性とは仕様の所作 - SQLインジェクション対... 続きを読む

[セキュリティ]画像へのPHPコマンド挿入 ― T.Teradaの日記

2007/07/15 このエントリーをはてなブックマークに追加 170 users Instapaper Pocket Tweet Facebook Share Evernote Clip T.Terada PHP PHPコマンド 攻撃 以下

だいぶ時間がたってしまいましたが、大垣さんの以下のブログにコメントしたことなどをまとめます。逕サ蜒上ヵ繧。繧、繝ォ縺ォPHP繧ウ繝シ繝峨r蝓九a霎シ繧?謾サ謦?縺ッ譌「遏・縺ョ蝠城。?アップロード画像を利用した攻撃についてです。攻撃の概要画像ファイルにPHPコマンドを挿入する攻撃は、大きく2種類に分けることができます。1つは、画像のアップロード機能を持つサイト自身を狙う攻撃です。PHPで開発されて... 続きを読む

 
(1 - 10 / 10件)