PHPビルドの楽しみ、あるいはポケモンとしてのPHPについて | 徳丸浩の日記

2020/12/19 15 users PHP YouTube ポケモン CGI API

この記事はPHP Advent Calendar 2020の19日目です。18日目は@You-sakuさんのPHPでYoutubeのAPIを利用したいでした。 私は以前、PHPのすべてのバージョンを使う環境として、phpall、phpcgiall、modphpallを紹介してきました。これらは、PHPのすべてのバージョンをそれぞれコマンドライン、CGI、mod_phpの形式で動作させる... 続きを読む

PHPの脆弱性CVE-2018-17082はApacheの脆弱性CVE-2015-3183を修正したら発現するようになったというお話 | 徳丸浩の日記

2020/05/30 28 users Apache PHP YouTube動画 ツッコミ 日記

最近自宅引きこもりで時間ができたので、YouTube動画を投稿するようになりました。みんな見てねー。 徳丸浩のウェブセキュリティ講座 そんなことで、次の動画は、お気に入りのPHPの脆弱性 CVE-2018-17082 を取り上げようと思ったんですよ。表向きXSSで出ているけど、金床さんのツッコミにもあるように、実はHTTP Request... 続きを読む

PHP 7.2以降におけるPDO::PARAM_INTの仕様変更 | 徳丸浩の日記

2020/03/27 20 users PDO プレースホルダ 暗黙 整数型 型変換

サマリPHP 7.2以降、PDOの内部実装が変更された。動的プレースホルダ（エミュレーションOFF）にてバインド時にPDO::PARAM_INTを指定した場合、PHP 7.1までは文字列型としてバインドされていたが、PHP 7.2以降では整数型としてバインドされる。 この変更により、従来PDOが内包していた「暗黙の型変換」は解消される一方、... 続きを読む

SSRF対策としてAmazonから発表されたIMDSv2の効果と限界 | 徳丸浩の日記

2019/12/09 42 users IMDSv2 限界 ser Amazon SSRF

サマリCapital OneからのSSRF攻撃による大規模な情報漏えい等をうけて、Amazonはインスタンスメタデータに対する保護策としてInstance Metadata Service (IMDSv2) を発表した。本稿では、IMDSv2が生まれた背景、使い方、効果、限界を説明した上で、SSRF対策におけるIMDSv2の位置づけについて説明する。 SSRFとはSSRF(Ser... 続きを読む

シェルを経由しないOSコマンド呼び出しがPHP7.4で実装された | 徳丸浩の日記

2019/12/05 23 users シェル PHP コマンド シェル経由 コマンド呼び出し機能

この記事はPHP Advent Calendar 2019の5日目の記事です。 はじめに私は6年前に、PHP Advent Calendar 2013として「PHPだってシェル経由でないコマンド呼び出し機能が欲しい」という記事を書きました。その中で、OSコマンドインジェクション対策の根本的かつ安全な対策は「シェルを経由しないコマンド呼び出し」であるこ... 続きを読む

PHPサーバーサイドプログラミングパーフェクトマスターのCSRF対策に脆弱性 | 徳丸浩の日記

2019/07/29 217 users CSRF対策 CSRF 脆弱性 アルゴリズム 日記

サマリPHPサーバーサイドプログラミングパーフェクトマスターには、PHP入門書としては珍しくクロスサイト・リクエストフォージェリ(CSRF)対策についての説明があるが、その方法には問題がある。アルゴリズムとして問題があることに加えて、実装上の問題があり、そのままコピペして用いると脆弱性となる。 はじめに古庄親... 続きを読む

2019年1月から5月に公表されたウェブサイトからのクレジットカード情報漏えい事件まとめ | 徳丸浩の日記

2019/05/30 93 users ウェブサイト 日記

株式会社ヤマダ電機の運営するECサイトから、最大37,832件のクレジットカード情報が漏洩したと昨日発表されました。ヤマダ電機のように日本を代表する家電量販店のサイトからクレジットカード情報が漏洩したことに私自身驚きました。 弊社が運営する「ヤマダウエブコム・ヤマダモール」への不正アクセスによる個人情報流... 続きを読む

[書評]噂の学園一美少女な先輩がモブの俺に惚れてるって、これなんのバグですか? | 徳丸浩の日記

2019/05/07 368 users モブ 書評 パク JNSA 先輩

瓜生聖（うりゅうせい）の近著「噂の学園一美少女な先輩がモブの俺に惚れてるって、これなんのバグですか? 」を読んだので紹介したい。本書は、JNSA（特定非営利活動法人 日本ネットワークセキュリティ協会）が主催したサイバーセキュリティ小説コンテストにて大賞を受賞した作品「目つきの悪い女が眼鏡をかけたら美少女... 続きを読む

鈴木常彦先生の「共用レンタルサーバにおけるメールの窃盗」の話を聴講した | 徳丸浩の日記

2019/04/29 277 users 窃盗 output ssmjp ＤＮＳ 鈴木常彦

4月23日（火）に開催された 「#ssmjp 2019/04 ～DNSの話を聞く会～」に「Outputなら任せてください枠」で参加しましたので、講演内容からとくにやばい(?)内容と思われる@tss_ontap（鈴木常彦=浸透言うな先生）の「黒塗りの DNS (萎縮編)」から、「共用レンタルサーバにおけるメールの窃盗」について紹介します。スライド... 続きを読む

WordPressのプラグインVisual CSS Style Editorに権限昇格の脆弱性 | 徳丸浩の日記

2019/04/16 28 users 掲題 権限昇格 WordPress 脆弱性 プラグイン

最近WordPressのプラグインのアップデート状況を監視しているのですが、Visual CSS Style Editor（別名Yellow pencil visual theme customizer）が公開停止になり、しばらくたって公開が再開されていました。これは、掲題のように権限昇格の脆弱性があったので公開停止になり、修正版が出たことにより公開再開したもので... 続きを読む

攻撃方法は「非保持化」前提に変わってきた！ 対策は基本に戻れ！ - 徳丸浩のWebセキュリティ事件簿：日経 xTECH Active

2019/03/06 25 users 前提 日経 xTECH Active 非保持化 攻撃方法 対策

2018年前半に浮き上がった事例で見逃せないのがクレジットカード情報の流出事件だ。聖教新聞、伊織、ウエストという3件の事例がある。Webセキュリティの第一人者である徳丸浩氏に、これらの事件について語ってもらった。3回にわたって掲載する。 カード情報流出の原因は結局、脆弱性 ECサイトでの情報漏洩ですが、エンド... 続きを読む

クレジットカード情報を「非保持化」してもなぜ漏れてしまったのか - 徳丸浩のWebセキュリティ事件簿：日経 xTECH Active

2019/03/06 48 users 第一人者 聖教新聞 徳丸浩氏 伊織 ウエスト

2018年前半に浮き上がった事例で見逃せないのがクレジットカード情報の流出事件だ。聖教新聞、伊織、ウエストという3件の事例がある。Webセキュリティの第一人者である徳丸浩氏に、これらの事件について語ってもらった。3回にわけて掲載する。 カード情報非保持だけでは不十分 今回はお題は2つあって、どちらからいきま... 続きを読む

EC2上でDNS RebindingによるSSRF攻撃可能性を検証した | 徳丸浩の日記

2019/03/04 57 users SSRF SSRF攻撃 AWS おさらい SSRF脆弱性

AWS EC2環境でのDNS Rebindingについて検証したので紹介します。 まずは、「前回までのおさらい」です。先日以下の記事でSSRF攻撃およびSSRF脆弱性について紹介しました。 SSRF(Server Side Request Forgery)徹底入門この記事の中で、以下のように紹介しました。 ホスト名からIPアドレスを求める際にも以下の問題が発生... 続きを読む

Rubyでもbcryptはバイナリセーフではない - Qiita

2019/02/27 46 users ockeghem Qiita bcrypt 徳丸 Ruby

RubyのBCryptはバイナリセーフなのか 徳丸先生が注意喚起としてあげられていたこちらの記事に関して “bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点 | 徳丸浩の日記” https://t.co/AA1yFVd0TH — 徳丸 浩 (@ockeghem) 2019年2月24日 記事ではPHPの例が上がっていましたが、Rubyではどのような影響があるの... 続きを読む

bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点 | 徳丸浩の日記

2019/02/24 335 users bcrypt 方式 日記 注意点

宅ふぁいる便から平文パスワードが漏洩した件を受けて、あらためてパスワードの安全な保存方法が関心を集めています。現在のパスワード保存のベストプラクティスは、パスワード保存に特化したハッシュ関数（ソルトやストレッチングも用いる）であるbcryptやArgon2などを用いることです。PHPの場合は、PHP5.5以降で使用で... 続きを読む

2018年に公表されたウェブサイトからのクレジットカード情報漏えい事件まとめ | 徳丸浩の日記

2018/12/31 97 users 本年 改正割賦販売法 攻撃 事件 施行後

エグゼクティブサマリ2018年に公表されたウェブサイトからのクレジットカード情報漏えい事件をまとめた。同年6月1日に改正割賦販売法が施行後も継続してカード情報漏えい事件は発生しており、カード情報「非保持」に対応した攻撃が目立つ結果となった。 事件の一覧下表に、本年（2018年）に公表されたウェブサイトからの... 続きを読む

SSRF(Server Side Request Forgery)徹底入門 | 徳丸浩の日記

2018/12/05 565 users SSRF GCE 徹底入門 SSRF脆弱性 AWS CLI

SSRF(Server Side Request Forgery)という脆弱性ないし攻撃手法が最近注目されています。以下は、ここ3ヶ月にSSRFについて言及された記事です。 EC2上のAWS CLIで使われている169.254についてSSRF脆弱性を利用したGCE/GKEインスタンスへの攻撃例SSRFを利用したメール送信ドメインの乗っ取り「CODE BLUE 2018」参加レポー... 続きを読む

WordPressのプラグインWP GDPR Complianceの脆弱性CVE-2018-19207について分析した | 徳丸浩の日記

2018/12/03 31 users WordPress 注意喚起 プラグイン 脆弱性 高い脆弱性

11月中旬から、レンタルサーバー事業者等から、WordPressのプラグインWP GDPR Complianceの脆弱性について注意喚起が目立つようになりました。 WordPressのプラグイン「AMP for WP」「WP GDPR Compliance」における緊急性の高い脆弱性についての注意喚起【注意喚起】WordPressのプラグイン『WP GDPR Compliance』の1.4.2... 続きを読む

問題：間違ったCSRF対策～中級編～ | 徳丸浩の日記

2018/11/12 72 users 後日 初級編 CSRF対策 前回 ツイート

この記事は「問題：間違ったCSRF対策～初級編～」の続編です。前回同様、この記事では問題のみを出し、想定解答は後日公開することにします。ネタバレとなるブックマークコメントやツイートなどは控えていただけると幸いです（「思いのほか簡単だった」など感想は可）。ブログ記事等に解説記事を書くことは歓迎いたしま... 続きを読む

ECサイトからクレジットカード情報を盗み出す新たな手口 | 徳丸浩の日記

2018/10/15 941 users 手口 漏洩 ガイドライン 従来 改正割賦販売法

エグゼクティブサマリ聖教新聞社が運営する通販サイト「SOKAオンラインストア」から2,481件のクレジットカード情報が漏洩した。リリースによると、漏洩に使われた手口は従来とは異なるもので、改正割賦販売法の実務上のガイドラインである「クレジットカード情報非保持化」では対策できないものであった。 はじめに今年... 続きを読む

PHPの脆弱性 CVE-2018-17082 によるキャッシュ汚染についての注意喚起 | 徳丸浩の日記

2018/09/24 268 users PHP XSS 注意喚起 Apache 日記

エグゼクティブサマリPHPの脆弱性CVE-2018-17082はXSSとして報告されているが、現実にはXSSとしての攻撃経路はない。一方、Apacheのmod_cacheによるキャッシュ機能を有効にしているサイトでは、キャッシュ汚染という攻撃を受ける可能性がある。 概要PHPの現在サポート中のすべてのバージョンについて、XSS脆弱性CVE-2018... 続きを読む

「ウイルス法」のあいまいな適用がセキュリティ意識を萎縮させる - 徳丸浩のWebセキュリティ事件簿：日経 xTECH Active

2018/09/14 16 users Coinhive 日経 xTECH Active 乱用 適用

2018年前半に浮き上がった事例で見逃せないのが「Coinhive」で逮捕者が出た事件と「Wizard Bible」削除の事件だ。どちらも件もいわゆる「ウイルス法」が関係している。Webセキュリティの第一人者である徳丸浩氏に、これらの事件について語ってもらった。 「不正指令電磁的記録」の乱用ではないのか 前回のおさらいをしま... 続きを読む

はたしてそれはウイルスなのか？ Coinhiveによる採掘問題 - 徳丸浩のWebセキュリティ事件簿：日経 xTECH Active

2018/09/12 24 users Coinhive ウイルス 日経 xTECH Active

コンピュータでビットコインなど仮想通貨の取引をチェックし、ブロックチェーンという取引台帳に追記していく作業のことを、金や銀を掘る作業のイメージになぞらえてマイニング（採掘）と呼ぶ。仮想通貨の仕組みを維持するためには必要不可欠な作業だ。 Webサイトに滞在していた時間、金額にすると、0.0001円といった非... 続きを読む

Expiresヘッダは、Cache-Controlヘッダにmax-ageまたはs-maxageがない場... - 徳丸浩のtumblr

2018/03/13 15 users tumblr CDN max-age オリジン レスポンス

Expiresヘッダは、Cache-Controlヘッダにmax-ageまたはs-maxageがない場合採用されます。ただし、過去の日付である場合、0秒として扱われます。キャッシュの有効期限が0秒となる場合、CDNからオリジンへのリクエストの処理中に、同じURLに対してリクエストが発生すると、最初のレスポンスを待って、2つ目以降のリクエストにも同じレスポンスが返される仕様になっていました。 このた... 続きを読む

【徳丸浩×LINE】なぜ、若者は情報発信しないの？─三世代の視点でセキュリティエンジニアを分析！｜CodeIQ MAGAZINE

2018/03/07 63 users セキュリティエンジニア tag 徳丸氏 徳丸浩氏 後編

【徳丸浩×LINE】なぜ、若者は情報発信しないの？─三世代の視点でセキュリティエンジニアを分析！ 2018.03.07 Category： インタビュー Tag： LINE , セキュリティ , 中村智史 , 徳丸浩 , 志賀遼太 徳丸浩氏とLINE志賀氏によるセキュリティ対談。後編は、徳丸氏と志賀氏の中間世代を、セキュリティエンジニアとして活躍してきたLINE中村智史氏に加わっていただきました。... 続きを読む