はてブログ

はてなブックマーク新着エントリーの過去ログサイトです。



タグ 大垣さん

新着順 人気順 5 users 10 users 50 users 100 users 500 users 1000 users
 
(1 - 5 / 5件)
 

EximのGHOST脆弱性の影響とバリデーションの関係 | 徳丸浩の日記

2015/02/03 このエントリーをはてなブックマークに追加 154 users Instapaper Pocket Tweet Facebook Share Evernote Clip Exim gethostbyname バリデーション 徳丸浩

2015年2月3日火曜日 EximのGHOST脆弱性の影響とバリデーションの関係 大垣さんのブログエントリ「GHOSTを使って攻撃できるケース」を読んだところ、以下のようなことが書いてありました。 1. ユーザー入力のIPアドレス(ネットワーク層のIPアドレスではない)に攻撃用データを送る。 2. バリデーション無しで攻撃用の不正なIPアドレスをgethostbyname()に渡される。 3. ヒ... 続きを読む

徳丸浩の日記: 正規表現によるバリデーションでは ^ と $ ではなく \A と \z を使おう

2014/03/04 このエントリーをはてなブックマークに追加 1203 users Instapaper Pocket Tweet Facebook Share Evernote Clip バリデーション perl ワナ 徳丸浩 Ruby

正規表現によるバリデーション等で、完全一致を示す目的で ^ と $ を用いる方法が一般的ですが、正しくは \A と \z を用いる必要があります。Rubyの場合 ^ と $ を使って完全一致のバリデーションを行うと脆弱性が入りやすいワナとなります。PerlやPHPの場合は、Ruby程ではありませんが不具合が生じるので \A と \z を使うようにしましょう。 はじめに 大垣さんのブログエントリ「P... 続きを読む

大垣さん、自分のしたことを分かっていますか?」 - Togetterまとめ

2013/12/16 このエントリーをはてなブックマークに追加 145 users Instapaper Pocket Tweet Facebook Share Evernote Clip Togetterまとめ 自分

オレオレSQLセキュリティ教育は論理的に破綻している http://t.co/xCrXobCbbS 貴方が普段言っている事が間違っている」と非難または攻撃しているのではありません。実務で「プリペアードクエリ・プレイスホルダ・ORMを使いましょう」と言うことは全く間違っていません。 続きを読む

大垣本を読んで「バリデーションはセキュリティ対策」について検討した - ockeghem(徳丸浩)の日記

2011/12/25 このエントリーをはてなブックマークに追加 140 users Instapaper Pocket Tweet Facebook Share Evernote Clip 所作 エントリ ockeghem 入力バリデーション 観点

このエントリでは、セキュリティの観点から、バリデーション実装について検討します。大垣さんの本を読んで「大垣流バリデーション」について勉強した結果を報告します。はじめに大垣さんの記事「入力バリデーションはセキュリティ対策」では、「入力バリデーションはセキュリティ対策である」が力説されています。この記事はおそらくid:ajiyoshiさんのブログ記事「妥当性とは仕様の所作 - SQLインジェクション対... 続きを読む

[セキュリティ]画像へのPHPコマンド挿入 ― T.Teradaの日記

2007/07/15 このエントリーをはてなブックマークに追加 170 users Instapaper Pocket Tweet Facebook Share Evernote Clip T.Terada PHP PHPコマンド 攻撃 以下

だいぶ時間がたってしまいましたが、大垣さんの以下のブログにコメントしたことなどをまとめます。逕サ蜒上ヵ繧。繧、繝ォ縺ォPHP繧ウ繝シ繝峨r蝓九a霎シ繧?謾サ謦?縺ッ譌「遏・縺ョ蝠城。?アップロード画像を利用した攻撃についてです。攻撃の概要画像ファイルにPHPコマンドを挿入する攻撃は、大きく2種類に分けることができます。1つは、画像のアップロード機能を持つサイト自身を狙う攻撃です。PHPで開発されて... 続きを読む

 
(1 - 5 / 5件)