ほとんどのセキュリティ問題はインジェクション問題 – インジェクションパターンとして理解すると簡単
セキュリティ問題のほとんどはインジェクション問題と考えることができます。インジェクション問題として考えられるセキュリティ問題のモデル化を考えます。 実際のセキュリティ問題は多種多様で非常に複雑ですが、シンプルなモデルで考えると理解り易く、多くのセキュリティ問題を体系的に理解できます。
PHP7からクロージャーの即時呼び出しが可能に
しばらく前(と言っても確か今年)、PHP開発者MLにクロージャーがその場で呼び出せないのは不便だ、と書いた事があるのですが知らない間に追加されていました。
もし自分が自分に標的型攻撃を行うなら?
最近は標的型攻撃の話題で持ち切りですが、もし自分が自分に標的型攻撃を行うならどうするか?紹介します。
リクエストフォージェリを再考 – リクエストのインジェクションと考える
リクエストフォージェリを再考してみたいと思います。リクエストフォージェリには SSRF(サーバーサイドリクエストフォージェリ) CSRF(クロスサイトリクエストフォージェリ) XXE(XMLエクスターナルエンティティ) などがあります。これらは「リクエスト」を「偽装」(フォージェリ)する攻撃です。名前からは直感的にどのような攻撃なのかよく解らないですが、「リ…
Fedora22用のPhalcon 2.0.6のSRPM
Fedora22用のPhalcon RPMパッケージを作ったのでダウンロードできるようにしておきます。
メソッド/関数呼び出しによるコード実行問題とその対策
前回、インジェクション攻撃の基本パターンを紹介したのでイレギュラーな例を紹介します。 言語の機能としてシリアライズされた”データ”からオブジェクトを生成(PHPの場合、unserialize関数)したり、呼び出すメソッド/関数を指定できる機能(PHPの場合、call_user_func*関数/call_method*関数など)を使ったりすると意図しないメソッ…
インジェクション脆弱性の発生原理と対策 + ISO標準
インジェクション脆弱性の発生原理は簡単です。エンジニアではないマネージャー向けに作った資料を基に原理を紹介します。 インジェクション脆弱性は、その種類に関わらず原理は同じです。原理が同じということは、対策も同じです。一つ一つのインジェクション脆弱性がどのように作られ、攻撃されるのか?は少しずつ異なりますが、基本的な部分は同じです。別々に考えるより、一まとめに…
経営者・マネージャーが知るべき情報セキュリティ
岡山大学大学院のビジネスマインド養成講座の講義資料を公開します。
ISO 27000とセキュアプログラミング
セキュアプログラミングの啓蒙にも少々食傷気味ですが、今回もセキュアプログラミングの話題です。IPAのセキュアプログラミング講座Web編は削除予定であるとFacebookではお伝えしましたが、ブログではまだだったので合わせて紹介します。 ISO 27000がセキュアプログラミングついてどのように書いているのか紹介します。ISO 27000シリーズはISMS(I…