SQLインジェクションカンニングシート
XSSに比べSQLインジェクションは非常に簡単に防げる脆弱性ですが、まだまだなくなりません。 SQL Injection Cheat Sheetが公開されています。 http://ferruh.mavituna.com/makale/sql-injection-cheatsheet/ 追記:上記ページはもう無いようです。以下のURLをご覧ください。 http…
Pythonも危ない…
MOPBでPHPのセキュリティホールばかり書いているので「PHP本体のコード、最低だね」と思われているかも知れません。他の言語でも「最低」なコードは探せば いくつでも見つかると思います。今日、full-disclosureに投稿された記事です。 Description: The source of python contain a various modul…
想像力と鈍感力
少し前になりますが小泉前首相が安部首相に対して「鈍感力も大事」と言っていましたが、良い事を言うなあ、と思って聞いていました。「鈍感力」は日常生活でも必要不可欠です。 例えば、道を歩いているだけでも交通事故合うかもしれないです。飛行機に乗ると墜落するかも知れません。もしかすると寝ていても隕石が落ちてきてあたるかも知れません。隕石に当たって死亡する事を心配する人…
MOPB-19-2007:PHP ext/filter Space Trimming Buffer Underflow Vulnerability
Stefanさんの承諾を得て日本語訳を公開しています。このブログの「the Month of PHP Bugs」カテゴリでMOPBの翻訳ページを一覧できます。分かりやすいように意訳できる部分は意訳します。厳密に原文の通り訳していないので正確性を重視される方は原文をご覧ください。 (さらに…)
セキュリティ用語の統一化
偶然ではないかも知れませんが、同じ時期に同じような物がリリース/改定するとアナウンスされています。 http://cwe.mitre.org/data/dictionary.html (こちらはDraft5) http://www.webappsec.org/lists/websecurity/archive/2007-03/msg00041.html (2…
Sigres – PostgrSQLの高速化
新しいバージョンがリリースされたようです。 PostgreSQLのINSERT/UPDATEを高速化するSigresの0.1.3をリリースします。 http://sourceforge.jp/projects/sigres/ SigresはUPSの存在を前提に、信頼性を若干犠牲にする代わりに、挿入処理に関して大幅な性能向上を実現します。 いまなおpgsql-…
Hardened PHPプロジェクトの収入
Today I banned secunia.com from our adsense ads, because they were all over the place and according to Adsenses statistic noone wanted to click on their ads. Actually It is a pity …
トラックバックスパムの防止方法
ボットによるコメントスパム防止はCAPTCHAによって行えますが、同じ事をトラックバックスパムにも利用できます。 通常のトラックバックURLは固定アドレスになっていますが、トラックバック送信の鍵をクエリパラメータに含めます。当然鍵は使い捨てでブルートフォース攻撃ができない、URL取得ページ・鍵にします。鍵付きのトラックバックURLを取得するにはCAPTCHA…
Apache Tomcat JK Connector
MOPBでPHPの脆弱性ばかり書いているので書いておきます。 critical: Arbitary code execution and denial of service CVE-2007-0774 An unsafe memory copy in the URI handler for the native JK connector could resu…
ePortfolio(Javaアプリ)の脆弱性
MOPBでPHPのセキュリティ問題ばかり書いているので書いておきます。 Multiple cross-site request forgery (CSRF) vulnerabilities in TKS Banking Solutions ePortfolio 1.0 Java allow remote attackers to perform unspec…