正規表現でのメールアドレスチェックは見直すべき – ReDoS | yohgaki's blog

2017/01/24 167 users StackExchange ReDoS エントリ Ruby

(更新日: 2016/10/19) 前のエントリで StackExchangeがReDoSで攻撃されサイトがダウンした問題 を紹介しました。少しだけ掘り下げて見たところ、正規表現だけでメールアドレスをチェックしている場合、壊滅的なReDoS（十分短い文字列で指数関数的に実行時間が増加する）が可能なことが判りました。 結論を書くと、正規表現でのメールアドレスチェックは見直すべき、です。（特にRuby... 続きを読む

画像ファイルにJavaScriptを隠す | yohgaki's blog

2015/09/09 325 users JavaScript 画像ファイル エントリ スクリプト 前回

前回のエントリでイメージファイルにスクリプトを埋め込んで攻撃する方法について記載しましたが、最近イメージファイルにスクリプトを埋め込む事例が話題になったためか ha.ckersにJavaScriptをイメージファイルに隠す方法が紹介されています。http://ha.ckers.org/blog/20070623/hiding-js-in-valid-images/ 続きを読む

ほぼ全てのインジェクション攻撃を無効化／防止する入力バリデーション | yohgaki's blog

2015/06/15 487 users インジェクション攻撃 入力バリデーション 全て セキ 定義

入力バリデーションはセキュリティ対策として最も重要なセキュリティ対策です。なぜセキュリティ対策であるのか？を理解していない方も見かけますが「ほぼ全てのインジェクション攻撃を無効化／防止する入力バリデーション」の効果と拡張方法を見れば解るのではないでしょうか？ソフトウェア開発者が知っておくべきセキュリティの定義／標準／ガイドで紹介しているセキュリティガイドラインでは入力バリデーションが最も重要なセキ... 続きを読む

ソフトウェア開発者が知っておくべきセキュリティの定義／標準／ガイド | yohgaki's blog

2015/06/02 102 users 定義 標準 ガイド ソフトウェア開発者 セキュリ

単純にこういった定義や標準があります、と紹介してもなかなか原文を参照することは敷居が高いです。このブログでも色々紹介できてきたので、ソフトウェア開発者が知っておくべきセキュリティの定義／標準／ガイドなどをまとめて紹介します。セキュリティ対策の定義そもそも定義を間違えていたら、ボタンの掛け違いは止まりません。まず、正しい定義を理解しなけばなりません。ソフトウェアのセキュリティといっても、他のセキュリ... 続きを読む

SHA1でハッシュ化したパスワードは危険になった | yohgaki's blog

2015/04/20 199 users SHA1 org ハッシュ化 パスワード アメリカ政府

パスワードを平文で保存するのは論外で、MD5やSHA1でハッシュ化するのは当たり前です。しかし、SHA1を2000倍早くクラックする方法などが発見され「SHA1は脆弱だ」（ちなみにMD5はもっと危険）とされてからしばらく経ちます。アメリカ政府や大手企業はSHA1は使わない、としています。 # Slashdot.orgにまた載っているので更に高速化できた、と言うことかな?前のエントリhttp://b... 続きを読む

徳丸浩氏との長年の議論に終止符 – 論理的／体系的セキュリティとそれ以外 | yohgaki's blog

2015/02/15 168 users 終止符 徳丸浩氏 WAF 議論 ベストプラクティス

私が長年徳丸さんと議論していることをご存知の方も多いと思います。徳丸さんがなぜ論理的に矛盾する主張、明らかにセキュリティ標準規格／ベストプラクティスに反する主張を繰り返えしたのか、その理由が判明しました。それと同時に長年の議論に終止符が打たれ、徳丸さんの考えを完全に理解することができましたと思われます。 徳丸さんがセキュリティ対策製品であるWAF（Web Application Firewall）... 続きを読む

PHP7の現状 | yohgaki's blog

2015/01/26 232 users 現状 PHP7 unicode PHP バージョン

PHP7が今年の秋リリースされる予定です。まだまだ多くの変更が行われる予定ですが、現状を簡単にまとめてみたいと思います。代表的な物のみ取り上げています。 ご存知ない方の為に書いておきます。現在リリースされているPHPはPHP5です。次のPHPはPHP7になり、PHP6はリリースされません。PHP6をUnicodeをネイティブ文字列としてサポートするバージョンとして開発されましたが、文字エンコーディ... 続きを読む

ActiveRecordのSQLインジェクションパターン | yohgaki's blog

2014/05/09 204 users ActiveRecord Exists params 出典

Railsで多用されているActiveRecordのインジェクションパターンを簡単に紹介します。出典はrails-sqli.orgなのでより詳しい解説はこちらで確認してください。特に気をつける必要があると思われる物のみをピックアップしました。 Exists?メソッド Ruby User.exists? params[:user] 012 User.exists? params[:user]  pa... 続きを読む

間違いだらけのHTTPセッション管理とその対策 | yohgaki's blog

2014/02/20 216 users 間違いだらけ バリデーション 対策 エントリ 中核

HTTPセッション管理はWebセキュリティの中核と言える機能です。Webセキュリティの中核であるHTTPセッション管理に設計上のバグがある事は少なくありません。今回のエントリはPHP Webアプリ開発者ではなく、主にWebフレームワーク側の開発者、つまりPHP本体の方に間違いがあるという話しです。Webアプリ開発者の回避策も紹介します。 まずセキュリティの基本として「入力のバリデーションを行い、正... 続きを読む

PHP本体でタイミング攻撃を防御できるようになります | yohgaki's blog

2014/02/12 117 users サイドチャ アプリケーション 副産物 PHP本体 コンピュータ

PHP 5.6からタイミング攻撃に対する対策が導入されます。メジャーなアプリケーションはタイミング攻撃対策が導入されていますが、PHP 5.6から簡単に対策できるようになります。 タイミング攻撃とは、コンピュータが動作する時間の違いを測って攻撃する手法です。コンピュータの動作時間、温度、音、電子ノイズ、電力使用量など、アルゴリズム自体の脆弱性を攻撃するのではなく副産物を利用する攻撃方法でサイドチャ... 続きを読む

タグ検索するならPostgreSQLで決まり！ | yohgaki's blog

2013/12/12 167 users PostgreSQL RDB 表題 エントリ タグ

PostgreSQL Advent Calender 2013、13日目のエントリです。 表題の通り「タグ検索するならPostgreSQLで決まり！」です。 RDBはタグが苦手 WebアプリではRDBでは取り扱いづらいデータを取り扱う事がよくあります。タグの管理・検索はその一つです。 RDBはタグ情報の管理・検索をしっかりやれますが、どちらかと言うと苦手な分野です。しかし、PostgreSQLの ... 続きを読む

yohgaki's blog - これからのプログラムの作り方 - 文字エンコーディング検証は必須

2006/06/12 159 users プログラム 必須 SJIS 作り方 PostgreSQL

最近PostgreSQL、MySQL両方にSJISエンコーディングを利用している際のエスケープ方法の問題を修正がリリースされています。この件は単純に「データベースシステムにセキュリティ上の脆弱性があった」と言う問題ではなく「アプリケーションの作り方を変える必要性」を提起した問題です。 PostgreSQL、MySQLの脆弱性は特にSJIS等、マルチバイト文字に\が含まれる文字エンコーディングが大き... 続きを読む

yohgaki's blog - PHPのSession Fixation問題

2006/02/05 111 users PHP セッシ バッチ セッション セッション管理

PHPのセッション管理はセッションの固定化（Session Fixation）に脆弱であることは広く知れらていると思っていました。先日、php-users(ja)のMLに「Hardened PHPプロジェクトのStefanさんのパッチにSQLite Sessionモジュール用のセッションセーブハンドラパッチを追加したパッチを公開しました」と投稿しました。しかし、ダウンロード数等から推測するとセッシ... 続きを読む