カテゴリ: 言語, Java, JavaScript, Perl, PHP, the Month of PHP Bugs, Python, Ruby

OSC Tokyo プレゼンファイルの公開について - OSC高知以後に

11月 1st, 2009

OSC Tokyo Fallでは多くの方にプレゼンテーションを聞いて頂きありがとうございました。気に入って頂けた方も多かったようで何よりです。何人もの方から「プレゼンファイルは公開するのか？」「プレゼンファイルを公開してほしい」聞いています。もう直ぐ開催するOSC高知で同じプレゼンを行います。ネタばれプレゼンするのも恥ずかしいのでOSC高知の後にプレゼンファイルは公開します。11/14(土) http://www.ospn.jp/osc2009-kochi/四国や近県… more »

投稿された Security, PHP, PostgreSQL, Ruby, Java, Webシステム開発, Perl, Python | 永続的リンク | フィードバックを送信 »

書評: CakePHPによる実践Webアプリケーション入門

10月 22nd, 2009

この本は今年のPHPカンファレンスで景品として頂いた本です。 CakePHPと言えば「CakeMatsuriTokyo2009」が10/30, 10/31に開催されます。興味がある方、CakePHPによるWeb開発にさらに磨きをかけたい方は参加されてはどうでしょうか? さて、「CakePHPによる実践Webアプリケーション入門」ですがタイトルの通りの本です。PHPとWebアプリ開発の基礎知っている方なら、この本を読むだけでCakePHPでどのようにWebアプリケーションを作れば良いのか、解る本に… more »

Tags: cakephp, php

投稿された PHP, Webシステム開発, レビュー, 書評 | 永続的リンク | フィードバックを送信 »

PHP 5.2.11用のStrict Session Patch

9月 30th, 2009

PHP 5.2.11用のStrict Session Patchを公開しました。http://wiki.ohgaki.net/index.php?PHP%2Fpatch%2FStrictSessionこれが無いとセッション管理が面倒です。どう面倒なのかは既に何度も書いているので省略します。 more »

投稿された Security, PHP | 永続的リンク | フィードバックを送信 »

PHPが文字エンコーディング攻撃に強い理由 - HTMLエスケープ

9月 29th, 2009

HTMLエスケープと言えば、Perlの場合、<,>,&,",'をエンティティ変換するコードが一番に見つかります。「perl html escape」でググると一番に見つかったページは次のページです。 http://saboten009.blogspot.com/2008/04/perlhtml-xss.html いつも問題になるのは PHP だけど Perl は問題ないのか、すでに議論し尽くされた問題なのか、PHPer のモラルが低いせいか。いつも問題にな… more »

投稿された Security, PHP, Ruby, Java, Webシステム開発, Perl, Python, JavaScript | 永続的リンク | フィードバックを送信 »

出力文字エンコーディングのバリデーション

9月 28th, 2009

前のエントリで「書かないブログ」の通り、あまりに書かなさすぎでなんの事やら分からない方も居たと思います。もう少し詳しく書きます。出力バッファとエラーハンドラで出力文字エンコーディングを簡単にバリデーションできます。PHPで出力文字エンコーディングをバリデーションステップ1: エラーハンドラを登録function myErrorHandler($errno, $errstr, $errfile, $errline){ // 出力バッファをクリア ob_end_cle… more »

投稿された Security, PHP | 永続的リンク | フィードバックを送信 »

「オープンセミナー2009@徳島」　開催のお知らせ

9月 26th, 2009

恒例の「オープンセミナー2009@徳島」が10/3(土曜）に開催されます。毎年パワーアップしている無料セミナーです。徳島近郊の方は是非ご参加ください。転載自由です。興味がある方へお知らせ、転送頂けると助かります。「オープンセミナー2009@徳島」　開催のお知らせ NPO法人日本PostgreSQLユーザ会瀬戸内Linuxユーザ会四国BSDユーザ会日本Androidの会中国・四国地方では数少ないオープンソース/インターネット/セキュリティをテーマにしたオープンソースユーザ… more »

投稿された Linux, Windows, PostgreSQL, Internet, 言語 | 永続的リンク | フィードバックを送信 »

Rails+Ruby 1.9では不正な文字エンコーディング攻撃で脆弱にならない理由

9月 25th, 2009

詳しく解説されたブログエントリをまっちゃさんのブログで知りました。入力で何もしていない事は知っていたので、出力時のどこかで全体をチェックできるような仕組みになっているのでは？と思っていたのですが、ETagの値を生成するコードの正規表現で例外が発生する、と言う事だそうです。 more »

投稿された Security, PHP, Ruby, Webシステム開発 | 永続的リンク | フィードバックを送信 »

#PHP でもutf8_decodeは使ってはならない

9月 22nd, 2009

Twitterで書いた方が良いようなエントリですが、たまには良いでしょう。 #perl - utf8::decode()ではなくEncode::decode_utf8()を使うべき理由という記事がありました。PHPにも似た関数、utf8_decodeがあります。PHPでも使ってはなりません。日本人というよりマルチバイト圏で使っている人はほとんどいないはずです。理由はコードを見れば一目瞭然です。 /* All the encoding functions are set… more »

投稿された Security, PHP, Ruby, Webシステム開発, Perl | 永続的リンク | フィードバックを送信 »

glibcの脆弱性で大量のメモリが割り当てられる - セキュリティ専門家は基盤ソフトウェアに期待させてはならない

9月 20th, 2009

最近この種のエントリがありませんでしたが、個人的に面白いとセキュリティ系の話題はできるだけ書いていきたいと思っています。 glibcのstrfmon関数の実装に脆弱性があり、簡単なスクリプトで大量のメモリが割り当てられる脆弱性があるようです。影響するglibcは2.10.1以下なので影響範囲は非常に大きいです。最初はBSDのlibcで脆弱性が発見され、glibcでも影響があることは脆弱性の発見者には分かっていたようです。詳細はアドバイザリに記載されています。 http://packetst… more »

投稿された Security, 言語 | 永続的リンク | 2 フィードバック »

何故かあたり前にならない文字エンコーディングバリデーション

9月 10th, 2009

私が4年前（2005年）に「Webアプリセキュリティ対策入門」を執筆していた時には、既に壊れた文字エンコーディングなどの不正な文字エンコーディングを利用したJavaScriptインジェクションやSQLインジェクション攻撃は比較的広く知られていました。この問題は当時のスラッシュドットジャパンでも取り上げられていました。/.で取り上げられたので、そこら中のWebサイトとユーザが被害に合うのでは？とヒヤヒヤしたので良く覚えています。不正な文字エンコーディングを利用した攻撃は、文字エンコーディングを厳格… more »

投稿された PHP, Ruby, Java, Webシステム開発, Perl, Python, JavaScript | 永続的リンク | フィードバックを送信 »