SQL Injectionシグネチャの更新 - 2015-05-07 - T.Teradaの日記

2015/05/07 32 users 2015-05-07 日記 更新

気がつけば3年ぶりの日記更新となりました。 相変わらずWeb/スマホ等のセキュリティは続けてます。 そろそろバイナリもやろうかとも思い、IDA Proを購入してみました。 購入に際してはKinugawaさんの記事を参考にさせてもらいました。ところで、最後に自作検査ツールについて書いてから6年ほど経ちました。 その間に細々とですがシグネチャの追加や変更を行ってきました。 またこのGW前後にも変更を加... 続きを読む

[セキュリティ]画像へのPHPコマンド挿入 ― T.Teradaの日記

2007/07/15 170 users PHP PHPコマンド 攻撃 大垣さん アップロード機能

だいぶ時間がたってしまいましたが、大垣さんの以下のブログにコメントしたことなどをまとめます。逕サ蜒上ヵ繧。繧、繝ォ縺ォPHP繧ウ繝シ繝峨ｒ蝓九ａ霎シ繧?謾サ謦?縺ッ譌「遏・縺ョ蝠城。?アップロード画像を利用した攻撃についてです。攻撃の概要画像ファイルにPHPコマンドを挿入する攻撃は、大きく2種類に分けることができます。1つは、画像のアップロード機能を持つサイト自身を狙う攻撃です。PHPで開発されて... 続きを読む

ログイン直後のレスポンスの返し方 T.Teradaの日記

2006/11/30 96 users レスポンス ログイン直後 返し方 日記

多くの会員制Webサイトでは、ID/PWによるログイン処理がある。ユーザにログイン画面を提示し、ユーザがフォームにID/PWを入力してsubmitする。ID/PWがOKであれば、ユーザのブラウザにはログイン後の画面が表示される。以下に、これを実現するための2通りのシーケンス図を描く。セキュリティの観点で望ましいのはA、Bのどちらだろう？というのが今回のテーマ。Aではログイン要求に対してHTTPステ... 続きを読む