カテゴリ: Security, エンドユーザ

OSC東京とOSC高知のプレゼン資料の公開

4月 14th, 2010

遅くなって申し訳ないです。昨年末に公開していたつもりでしたが公開設定していませんでした。このプレゼンを行った後にPythonはCVEが公開されて、最新版では修正されています。ご意見などございましたら御気軽にコメント、メールをください。 more »

投稿された Security, PHP, Ruby, Perl, Python | 永続的リンク | フィードバックを送信 »

OSC Tokyo プレゼンファイルの公開について - OSC高知以後に

11月 1st, 2009

OSC Tokyo Fallでは多くの方にプレゼンテーションを聞いて頂きありがとうございました。気に入って頂けた方も多かったようで何よりです。何人もの方から「プレゼンファイルは公開するのか？」「プレゼンファイルを公開してほしい」聞いています。もう直ぐ開催するOSC高知で同じプレゼンを行います。ネタばれプレゼンするのも恥ずかしいのでOSC高知の後にプレゼンファイルは公開します。11/14(土) http://www.ospn.jp/osc2009-kochi/四国や近県… more »

投稿された Security, PHP, PostgreSQL, Ruby, Java, Webシステム開発, Perl, Python | 永続的リンク | 2 フィードバック »

OSC Tokyo - 今更聞けないSQLインジェクションの現実と対策

10月 29th, 2009

明日のOSC東京Fallでは「SQLインジェクション"ゼロ"のPostgreSQL利用法 - 今更聞けないSQLインジェクションの現実と対策」と題したセッションを日本PostgreSQLユーザ会の講師として話をさせて頂きます。SQLインジェクションはとうの昔に枯れた話題と思われていますが、古くても今の問題です。何年か前、日本PostgreSQLユーザ会のセミナーで手作業でのブラインドSQLインジェクションのデモをした事がありますが今回はツールを使ったデモもあります。SQLインジェクションについ… more »

投稿された Security, PostgreSQL | 永続的リンク | フィードバックを送信 »

PHP 5.2.11用のStrict Session Patch

9月 30th, 2009

PHP 5.2.11用のStrict Session Patchを公開しました。http://wiki.ohgaki.net/index.php?PHP%2Fpatch%2FStrictSessionこれが無いとセッション管理が面倒です。どう面倒なのかは既に何度も書いているので省略します。 more »

投稿された Security, PHP | 永続的リンク | フィードバックを送信 »

PHPが文字エンコーディング攻撃に強い理由 - HTMLエスケープ

9月 29th, 2009

HTMLエスケープと言えば、Perlの場合、<,>,&,",'をエンティティ変換するコードが一番に見つかります。「perl html escape」でググると一番に見つかったページは次のページです。 http://saboten009.blogspot.com/2008/04/perlhtml-xss.html いつも問題になるのは PHP だけど Perl は問題ないのか、すでに議論し尽くされた問題なのか、PHPer のモラルが低いせいか。いつも問題にな… more »

投稿された Security, PHP, Ruby, Java, Webシステム開発, Perl, Python, JavaScript | 永続的リンク | フィードバックを送信 »

出力文字エンコーディングのバリデーション

9月 28th, 2009

前のエントリで「書かないブログ」の通り、あまりに書かなさすぎでなんの事やら分からない方も居たと思います。もう少し詳しく書きます。出力バッファとエラーハンドラで出力文字エンコーディングを簡単にバリデーションできます。PHPで出力文字エンコーディングをバリデーションステップ1: エラーハンドラを登録function myErrorHandler($errno, $errstr, $errfile, $errline){ // 出力バッファをクリア ob_end_cle… more »

投稿された Security, PHP | 永続的リンク | フィードバックを送信 »

Rails+Ruby 1.9では不正な文字エンコーディング攻撃で脆弱にならない理由

9月 25th, 2009

詳しく解説されたブログエントリをまっちゃさんのブログで知りました。入力で何もしていない事は知っていたので、出力時のどこかで全体をチェックできるような仕組みになっているのでは？と思っていたのですが、ETagの値を生成するコードの正規表現で例外が発生する、と言う事だそうです。 more »

投稿された Security, PHP, Ruby, Webシステム開発 | 永続的リンク | フィードバックを送信 »

#PHP でもutf8_decodeは使ってはならない

9月 22nd, 2009

Twitterで書いた方が良いようなエントリですが、たまには良いでしょう。 #perl - utf8::decode()ではなくEncode::decode_utf8()を使うべき理由という記事がありました。PHPにも似た関数、utf8_decodeがあります。PHPでも使ってはなりません。日本人というよりマルチバイト圏で使っている人はほとんどいないはずです。理由はコードを見れば一目瞭然です。 /* All the encoding functions are set… more »

投稿された Security, PHP, Ruby, Webシステム開発, Perl | 永続的リンク | フィードバックを送信 »

glibcの脆弱性で大量のメモリが割り当てられる - セキュリティ専門家は基盤ソフトウェアに期待させてはならない

9月 20th, 2009

最近この種のエントリがありませんでしたが、個人的に面白いとセキュリティ系の話題はできるだけ書いていきたいと思っています。 glibcのstrfmon関数の実装に脆弱性があり、簡単なスクリプトで大量のメモリが割り当てられる脆弱性があるようです。影響するglibcは2.10.1以下なので影響範囲は非常に大きいです。最初はBSDのlibcで脆弱性が発見され、glibcでも影響があることは脆弱性の発見者には分かっていたようです。詳細はアドバイザリに記載されています。 http://packetst… more »

投稿された Security, 言語 | 永続的リンク | 2 フィードバック »

Flashのバージョン - このブログの閲覧者の半分は脆弱...

9月 18th, 2009

フラッシュのバージョンチェックがFirefoxに追加されました。ようやくと言う感じです。MozillaプロジェクトよりAdobeがもっと頻繁にバージョンアップのチェックを行うようにすべきだと思います。脆弱なWindowsXP, Flash, PDFは攻撃対象の三種の神器と言っても良い(?)くらい攻撃対象になっています。久しぶりにこのブログの読者がどれくらい当たらしいFlashを使っているのか、Google Analyticsで見てみました。半分くらいは脆弱です... 皆さ… more »

投稿された Security | 永続的リンク | フィードバックを送信 »