タグ co3k.org
人気順 10 users 50 users 100 users 500 users 1000 usersどうして JWT をセッションに使っちゃうわけ? - co3k.org
はあああ〜〜〜〜頼むからこちらも忙しいのでこんなエントリを書かせないでほしい (挨拶)。もしくは僕を暇にしてこういうエントリを書かせるためのプログラマーを募集しています (挨拶)。 JWT (JSON Web Token; RFC 7519) を充分なリスクの見積もりをせずセッションに使う事例が現実に観測されはじめ、周りにもそれが伝... 続きを読む
RedCloth における未修正の XSS 脆弱性についての注意喚起 - co3k.org
TL;DR 任意のスクリプトの実行をユーザに許している場合を除き、 RedCloth によってパースしたユーザ入力値を出力するべきではありません。 RedCloth には 9 年ほど前から存在する未修正の XSS 脆弱性があり、しかもその存在が 2 年前に明らかになっています。 残念なことに、現在の開発者によるこの脆弱性の修正は期待できません。開発者は "バグの修正や次のメジャーリリースに関する作... 続きを読む
Composer のセキュリティ上の問題が直ったので PHP な方は今すぐ更新を - co3k.org
Composer の以下の問題が 2 月半ばあたりから話題になっていました。 Limit Replace / Provides to packages required by name in root package or any dep · Issue #2690 · composer/composer https://github.com/composer/composer/issues/26... 続きを読む
CSRF対策用トークンの値にセッションIDそのものを使ってもいい時代なんて、そもそも無かった
概要 http://co3k.org/blog/csrf-token-should-not-be-session-id について。 この記事では触れられていませんが、 むかし、セッションIDをHTMLソース中に埋め込んでも脅威は変わらないと主張した人がいました 正確には「hiddenの値のみ漏れやすいような特殊な脆弱性が無ければ」という前提であったけれど、実際にそのようなバグはあったし、予見されて... 続きを読む
co3k.org - Blog - CSRF 対策用トークンの値にセッション ID そのものを使ってもいい時代は終わりつつある
CSRF 脆弱性対策には攻撃者の知り得ない秘密情報をリクエストに対して要求すればよく、そのような用途としてはセッション ID がお手軽でいいよねという時代があったかと思います。 いや、もちろん、 CSRF 対策の文脈だけで言えば今も昔も間違いというわけではありません。セッション ID が秘密情報であるのは Web アプリケーションにおいて当然の前提ですので、 CSRF 対策としてリクエストに求める... 続きを読む
co3k.org - Blog - Python 製の負荷試験ツール Locust を試してみた
Web の負荷試験ツールとして代表的なのは Apache JMeter だと思いますが、 Apache JMeter 自体が結構重いのと、テストシナリオの保守が GUI ツールでは結構ツライ (シナリオファイルは XML ですが、とても人間が手を加えられるような代物じゃない) なあということで代替となるものを探していました。 で、心惹かれたのが以下のツールです。 Gatling Tsung Loc... 続きを読む
co3k.org - Blog - PHP 5.3 でネイティブ関数の引数型エラー時の返り値が変更になったけど大丈夫?
PHP 5.5.0 リリースおめでとうございます。 タイミング的に PHP 5.5 の話だと読み間違えた方 (もしくは「こいつ間違って PHP 5.3 って書いてやがるプギャー」と思った方) におかれましては、このテキーラはサービスだから、まず飲んで落ち着いてほしい。 はい。ということで、驚くべきことに、いまから、真顔で、 PHP 5.3 の変更点の話をします。でも PHP 5.5 が出るにあたっ... 続きを読む
co3k.org - Blog - Symfony のセキュリティリリースハンドリングがチョベリグになった話 (Symfony Advent Calender 2012 JP - 23日目)
`Symfony Advent Calendar 2012 JP `_ の 23 日目です。なんか 17 日目で川原君から Note: Security Fix 周りの問題については、後日 @co3k が取り扱うようです。 -- `Symfony Advent Calendar JP 2012 - Day 17 — Symfony Advent Calendar 2012 - Day 17 v1.... 続きを読む
co3k.org - Blog - 不適切な脆弱性情報ハンドリングが生んだ WordPress プラグイン cforms II のゼロデイ脆弱性
2012/02/15、 JVN から `JVN#35256978: cforms II におけるクロスサイトスクリプティングの脆弱性 `_ が公開されました。これはクレジットされているとおり、海老原と、同僚の渡辺優也君が勤務中に発見した脆弱性です。 脆弱性自体はどこにでもあるような普通の XSS ですが、実はこの脆弱性、 2010 年 10 月に exploit コードが公開され、それから 1 年... 続きを読む
co3k.org - Blog - 次のプロジェクトで PHP 5.4 の採用を提案するための 3 つのポイント (PHP 5.4 Advent Calendar 2011 19 日目)
PHP 5.4 Advent Calendar 2011 19 日目です。 前回は `@cocoitiban さん `_ でした。 `htmlspecialchars()` のオプション追加については個人的にも気になっていたところ(Symfony2 の https://github.com/symfony/symfony/commit/053b42158e2f887b54a3e87977303d2... 続きを読む
co3k.org - Blog - Symfony2 の力を借りたセキュア開発 (Symfony Advent Calender 2011 JP - 18日目)
Symfony Advent Calender 2011 JP 18日目です。前回は `@hidenorigoto `_ さんでした。リダイレクト・インターセプションは 2.0.0 が出る前のどこかのタイミングでデフォルトでオフになって焦った記憶があります。投稿処理などをしたタイミングでプロファイラを見る機会が多いので、有効にしておくと便利ですよね。 さて、 18 日目となるこのエントリでは、セキ... 続きを読む
co3k.org - Blog - DTrace で PHP スクリプトの動作を追跡する (PHP 5.4 Advent Calendar 2011 12 日目)
PHP 5.4 Advent Calendar 2011 12 日目です。 `前回は Paul さん `_ でした。 Trait は今すぐにでも使いたい機能のうちのひとつですよね! さて、 PHP 5.4 では DTrace がサポートされました。 DTrace は、稼働中のシステムの動作に関する情報を動的に追跡、解析するための仕組みです。元々は Soralis のために開発されたものですが、現在... 続きを読む
co3k.org - Blog - au の F001 に存在した EZ 番号詐称の脆弱性について
このエントリでは、海老原が 11/11 に発見した、「F001 の PC サイトビューアを利用して EZ 番号の作業がおこなえる」という脆弱性について説明します。 この脆弱性を利用されると、たとえば、「かんたんログイン」などの機能を提供する勝手サイトにおいて、 au 端末を利用したユーザになりすまされてしまうといった被害が発生しえます。 本問題の解決に向けてご協力いただいた `徳丸さんのブログエン... 続きを読む