カテゴリ: Python

OSC東京とOSC高知のプレゼン資料の公開

4月 14th, 2010
遅くなって申し訳ないです。昨年末に公開していたつもりでしたが公開設定していませんでした。 このプレゼンを行った後にPythonはCVEが公開されて、最新版では修正されています。   ご意見などございましたら御気軽にコメント、メールをください。 more »

投稿された Security, PHP, Ruby, Perl, Python | 永続的リンク永続的リンク | フィードバックを送信 »

OSC Tokyo プレゼンファイルの公開について - OSC高知以後に

11月 1st, 2009
OSC Tokyo Fallでは多くの方にプレゼンテーションを聞いて頂きありがとうございました。気に入って頂けた方も多かったようで何よりです。何人もの方から「プレゼンファイルは公開するのか?」「プレゼンファイルを公開してほしい」聞いています。もう直ぐ開催するOSC高知で同じプレゼンを行います。ネタばれプレゼンするのも恥ずかしいのでOSC高知の後にプレゼンファイルは公開します。11/14(土) http://www.ospn.jp/osc2009-kochi/四国や近県… more »

投稿された Security, PHP, PostgreSQL, Ruby, Java, Webシステム開発, Perl, Python | 永続的リンク永続的リンク | 2 フィードバック »

PHPが文字エンコーディング攻撃に強い理由 - HTMLエスケープ

9月 29th, 2009
HTMLエスケープと言えば、Perlの場合、<,>,&,",'をエンティティ変換するコードが一番に見つかります。 「perl html escape」でググると一番に見つかったページは次のページです。 http://saboten009.blogspot.com/2008/04/perlhtml-xss.html いつも問題になるのは PHP だけど Perl は問題ないのか、すでに議論し尽くされた問題なのか、PHPer のモラルが低いせいか。 いつも問題にな… more »

投稿された Security, PHP, Ruby, Java, Webシステム開発, Perl, Python, JavaScript | 永続的リンク永続的リンク | フィードバックを送信 »

何故かあたり前にならない文字エンコーディングバリデーション

9月 10th, 2009
私が4年前(2005年)に「Webアプリセキュリティ対策入門」を執筆していた時には、既に壊れた文字エンコーディングなどの不正な文字エンコーディングを利用したJavaScriptインジェクションやSQLインジェクション攻撃は比較的広く知られていました。この問題は当時のスラッシュドットジャパンでも取り上げられていました。/.で取り上げられたので、そこら中のWebサイトとユーザが被害に合うのでは?とヒヤヒヤしたので良く覚えています。不正な文字エンコーディングを利用した攻撃は、文字エンコーディングを厳格… more »

投稿された PHP, Ruby, Java, Webシステム開発, Perl, Python, JavaScript | 永続的リンク永続的リンク | フィードバックを送信 »

乱数生成器の取扱い - PHPとPython

9月 24th, 2008
Stefan Esser氏のブログでmt_srandとそれほどランダムでない乱数(mt_srand and not so random numbers)というエントリが8/17に掲載されています。気になっていたのでPythonの実装も調べてみました。 乱数生成器は擬似乱数生成器 PHPの乱数生成器にはrandとmt_randの2種類がありますが、randはlibcのラッパー関数でmt_randはMersenne Twisterアルゴリズムを利用した乱数生成器です。乱数生成器といってもどちらも… more »

投稿された Security, PHP, Webシステム開発, Python | 永続的リンク永続的リンク | 6 フィードバック »

Pythonの脆弱性

8月 8th, 2008
Google????????????????????Python????????????????????????????Python???????????????????????????????????????????????????????? ???????????????????????????????????????????? Python 2.5.3????????????????.... http://python.org/download/ ????????????… more »

投稿された Security, Python | 永続的リンク永続的リンク | フィードバックを送信 »

PostgreSQLカンファレンス2008

6月 3rd, 2008
PostgreSQL???????2008??????(6/6)???????? http://www.postgresql.jp/events/postgresql-conference-2008 ?????????????????????? ???? ??????? ??? ???? 4,000 ? ????????????????? ???? ??? 10,000 ? ???????????????????????????????????????… more »

投稿された Linux, Windows, PHP, PostgreSQL, Ruby, Java, MySQL, SQLite, Webシステム開発, Mac, Perl, Python | 永続的リンク永続的リンク | フィードバックを送信 »

Python 2.5.3にリモートコード実行の可能性がある脆弱性

4月 23rd, 2008
??CVE????&????????????????????????????????????????? ?????????????????????????Python 2.5.3???????????????????????????????? CVE-2008-1679 Overview Multiple integer overflows in imageop.c in Python before 2.5.3 allow context-dependent attacker… more »

投稿された Security, Python | 永続的リンク永続的リンク | フィードバックを送信 »

Python 2.5.2以下に任意コード実行の脆弱性

4月 22nd, 2008
CVE登録されているので私がコピー&ペーストするまでもないですが、予想通りにPythonの脆弱性が出てきました。 CVE-2008-1887 Overview Python 2.5.2 and earlier allows context-dependent attackers to execute arbitrary code via multiple vectors that cause a negative size value to provided to the PySt… more »

投稿された Security, Python | 永続的リンク永続的リンク | フィードバックを送信 »

GoogleのPython採用と脆弱性情報の関係

4月 11th, 2008
GoogleがカスタムアプリケーションのホスティングにPythonを採用しました。これにより多くのセキュリティ研究者の研究対象がPythonに向けられ、PHPで報告されていたような問題がセキュリティ脆弱性して多数レポートされるようになるのではないか、と予想していました。 さっそくセキュリティ脆弱性が多く発見されるライブラリの一つであるzlibライブラリにお馴染みの脆弱性が報告されています。 CVE-2008-1721 Integer signedness error in the zl… more »

投稿された Security, Python | 永続的リンク永続的リンク | 4 フィードバック »