カテゴリ: Perl

OSC東京とOSC高知のプレゼン資料の公開

4月 14th, 2010
遅くなって申し訳ないです。昨年末に公開していたつもりでしたが公開設定していませんでした。 このプレゼンを行った後にPythonはCVEが公開されて、最新版では修正されています。   ご意見などございましたら御気軽にコメント、メールをください。 more »

投稿された Security, PHP, Ruby, Perl, Python | 永続的リンク永続的リンク | フィードバックを送信 »

OSC Tokyo プレゼンファイルの公開について - OSC高知以後に

11月 1st, 2009
OSC Tokyo Fallでは多くの方にプレゼンテーションを聞いて頂きありがとうございました。気に入って頂けた方も多かったようで何よりです。何人もの方から「プレゼンファイルは公開するのか?」「プレゼンファイルを公開してほしい」聞いています。もう直ぐ開催するOSC高知で同じプレゼンを行います。ネタばれプレゼンするのも恥ずかしいのでOSC高知の後にプレゼンファイルは公開します。11/14(土) http://www.ospn.jp/osc2009-kochi/四国や近県… more »

投稿された Security, PHP, PostgreSQL, Ruby, Java, Webシステム開発, Perl, Python | 永続的リンク永続的リンク | 2 フィードバック »

PHPが文字エンコーディング攻撃に強い理由 - HTMLエスケープ

9月 29th, 2009
HTMLエスケープと言えば、Perlの場合、<,>,&,",'をエンティティ変換するコードが一番に見つかります。 「perl html escape」でググると一番に見つかったページは次のページです。 http://saboten009.blogspot.com/2008/04/perlhtml-xss.html いつも問題になるのは PHP だけど Perl は問題ないのか、すでに議論し尽くされた問題なのか、PHPer のモラルが低いせいか。 いつも問題にな… more »

投稿された Security, PHP, Ruby, Java, Webシステム開発, Perl, Python, JavaScript | 永続的リンク永続的リンク | フィードバックを送信 »

#PHP でもutf8_decodeは使ってはならない

9月 22nd, 2009
Twitterで書いた方が良いようなエントリですが、たまには良いでしょう。 #perl - utf8::decode()ではなくEncode::decode_utf8()を使うべき理由 という記事がありました。PHPにも似た関数、utf8_decodeがあります。PHPでも使ってはなりません。日本人というよりマルチバイト圏で使っている人はほとんどいないはずです。理由はコードを見れば一目瞭然です。     /* All the encoding functions are set… more »

投稿された Security, PHP, Ruby, Webシステム開発, Perl | 永続的リンク永続的リンク | フィードバックを送信 »

何故かあたり前にならない文字エンコーディングバリデーション

9月 10th, 2009
私が4年前(2005年)に「Webアプリセキュリティ対策入門」を執筆していた時には、既に壊れた文字エンコーディングなどの不正な文字エンコーディングを利用したJavaScriptインジェクションやSQLインジェクション攻撃は比較的広く知られていました。この問題は当時のスラッシュドットジャパンでも取り上げられていました。/.で取り上げられたので、そこら中のWebサイトとユーザが被害に合うのでは?とヒヤヒヤしたので良く覚えています。不正な文字エンコーディングを利用した攻撃は、文字エンコーディングを厳格… more »

投稿された PHP, Ruby, Java, Webシステム開発, Perl, Python, JavaScript | 永続的リンク永続的リンク | フィードバックを送信 »

PostgreSQLカンファレンス2008

6月 3rd, 2008
PostgreSQL???????2008??????(6/6)???????? http://www.postgresql.jp/events/postgresql-conference-2008 ?????????????????????? ???? ??????? ??? ???? 4,000 ? ????????????????? ???? ??? 10,000 ? ???????????????????????????????????????… more »

投稿された Linux, Windows, PHP, PostgreSQL, Ruby, Java, MySQL, SQLite, Webシステム開発, Mac, Perl, Python | 永続的リンク永続的リンク | フィードバックを送信 »

Smarty 2.6.19未満のregex_replaceは脆弱と言うよりは...

3月 31st, 2008
Smarty 2.6.19未満のregex_replaceは脆弱だったと言うよりは、今でも脆弱と言った方が良いと思います。 Smarty 2.6.19は2008/2/11にリリースされました。ちょっと古い話ですが、Smarty 2.6.19より前のバージョンのregex_replaceは脆弱、とアナウンスされています。 subversionを見てみると if (($pos = strpos($search,"\0")) !== false) $search =… more »

投稿された Security, PHP, Perl | 永続的リンク永続的リンク | フィードバックを送信 »