カテゴリ: Security, エンドユーザ
OSC東京とOSC高知のプレゼン資料の公開
4月 14th, 2010遅くなって申し訳ないです。昨年末に公開していたつもりでしたが公開設定していませんでした。 このプレゼンを行った後にPythonはCVEが公開されて、最新版では修正されています。 ご意見などございましたら御気軽にコメント、メールをください。 more »
OSC Tokyo プレゼンファイルの公開について - OSC高知以後に
11月 1st, 2009OSC Tokyo Fallでは多くの方にプレゼンテーションを聞いて頂きありがとうございました。気に入って頂けた方も多かったようで何よりです。何人もの方から「プレゼンファイルは公開するのか?」「プレゼンファイルを公開してほしい」聞いています。もう直ぐ開催するOSC高知で同じプレゼンを行います。ネタばれプレゼンするのも恥ずかしいのでOSC高知の後にプレゼンファイルは公開します。11/14(土) http://www.ospn.jp/osc2009-kochi/四国や近県… more »
OSC Tokyo - 今更聞けないSQLインジェクションの現実と対策
10月 29th, 2009明日のOSC東京Fallでは「SQLインジェクション"ゼロ"のPostgreSQL利用法 - 今更聞けないSQLインジェク ションの現実と対策」と題したセッションを日本PostgreSQLユーザ会の講師として話をさせて頂きます。SQLインジェクションはとうの昔に枯れた話題と思われていますが、古くても今の問題です。何年か前、日本PostgreSQLユーザ会のセミナーで手作業でのブラインドSQLインジェクションのデモをした事がありますが今回はツールを使ったデモもあります。SQLインジェクションについ… more »
PHP 5.2.11用のStrict Session Patch
9月 30th, 2009PHP 5.2.11用のStrict Session Patchを公開しました。http://wiki.ohgaki.net/index.php?PHP%2Fpatch%2FStrictSessionこれが無いとセッション管理が面倒です。どう面倒なのかは既に何度も書いているので省略します。 more »
PHPが文字エンコーディング攻撃に強い理由 - HTMLエスケープ
9月 29th, 2009HTMLエスケープと言えば、Perlの場合、<,>,&,",'をエンティティ変換するコードが一番に見つかります。 「perl html escape」でググると一番に見つかったページは次のページです。 http://saboten009.blogspot.com/2008/04/perlhtml-xss.html いつも問題になるのは PHP だけど Perl は問題ないのか、すでに議論し尽くされた問題なのか、PHPer のモラルが低いせいか。 いつも問題にな… more »
出力文字エンコーディングのバリデーション
9月 28th, 2009前のエントリで「書かないブログ」の通り、あまりに書かなさすぎでなんの事やら分からない方も居たと思います。もう少し詳しく書きます。出力バッファとエラーハンドラで出力文字エンコーディングを簡単にバリデーションできます。PHPで出力文字エンコーディングをバリデーションステップ1: エラーハンドラを登録function myErrorHandler($errno, $errstr, $errfile, $errline){ // 出力バッファをクリア ob_end_cle… more »
Rails+Ruby 1.9では不正な文字エンコーディング攻撃で脆弱にならない理由
9月 25th, 2009詳しく解説されたブログエントリをまっちゃさんのブログで知りました。入力で何もしていない事は知っていたので、出力時のどこかで全体をチェックできるような仕組みになっているのでは?と思っていたのですが、ETagの値を生成するコードの正規表現で例外が発生する、と言う事だそうです。 more »
#PHP でもutf8_decodeは使ってはならない
9月 22nd, 2009Twitterで書いた方が良いようなエントリですが、たまには良いでしょう。 #perl - utf8::decode()ではなくEncode::decode_utf8()を使うべき理由 という記事がありました。PHPにも似た関数、utf8_decodeがあります。PHPでも使ってはなりません。日本人というよりマルチバイト圏で使っている人はほとんどいないはずです。理由はコードを見れば一目瞭然です。 /* All the encoding functions are set… more »
glibcの脆弱性で大量のメモリが割り当てられる - セキュリティ専門家は基盤ソフトウェアに期待させてはならない
9月 20th, 2009最近この種のエントリがありませんでしたが、個人的に面白いとセキュリティ系の話題はできるだけ書いていきたいと思っています。 glibcのstrfmon関数の実装に脆弱性があり、簡単なスクリプトで大量のメモリが割り当てられる脆弱性があるようです。影響するglibcは2.10.1以下なので影響範囲は非常に大きいです。 最初はBSDのlibcで脆弱性が発見され、glibcでも影響があることは脆弱性の発見者には分かっていたようです。詳細はアドバイザリに記載されています。 http://packetst… more »
Flashのバージョン - このブログの閲覧者の半分は脆弱...
9月 18th, 2009フラッシュのバージョンチェックがFirefoxに追加されました。ようやくと言う感じです。MozillaプロジェクトよりAdobeがもっと頻繁にバージョンアップのチェックを行うようにすべきだと思います。脆弱なWindowsXP, Flash, PDFは攻撃対象の三種の神器と言っても良い(?)くらい攻撃対象になっています。久しぶりにこのブログの読者がどれくらい当たらしいFlashを使っているのか、Google Analyticsで見てみました。半分くらいは脆弱です... 皆さ… more »


