Programming – ページ 16

PHP 5.6の新機能

12月 3, 2013 #PHP 投稿者 yohgaki

PHP Advent Calender 2013、3日目の参加エントリです。前日のPHP の配列を使った手品とその種明かしに続き3日目です。PHPの配列（ハッシュ）のキーはバイナリセーフなので何でも入れられる、ということはあまり知られていないですよね。面白い話だったと思います。

私のネタには面白さはありません。予めご了承ください :-)

さて今日のテーマのPHP5.6新機能です。PHPプロジェクトのgitレポジトリでは既にPHP5.6用のブランチが作成されています。PHP 5.6は来春リリース予定です。

大ニュース（？）だったので多くの方はご存知だと思いますが、PHPは毎年新しいマイナーバージョンをリリースします。メンテナンスされるのは2つのバージョンのみです。つまりPHP 5.6がリリースされるとPHP 5.4はEOL（メンテナンス停止。＋1年のセキュリティフィックスのみ）になります。来春にPHP 5.3は完全終了です。皆さん、準備はできているでしょうか？（まだまだ色々機能を付けなければなりませんが、個人的にも困るのでアップグレードを容易にするPROVE for PHPというツールを開発しています。よろしければ試用してみてください。）

前置きが長くなりましたがPHP 5.6の新機能を紹介します。

Computer, Development, Programming

CasperJS/PhantomJSでシンタックスエラー行を取得する方法

11月 24, 2013 #JavaScript 投稿者 yohgaki

CasperJSやPhantomJSを使っていてシンタックスエラーがあると

[yohgaki@localhost ]$ casperjs test.js
SyntaxError: Parse error

と表示するだけでエラー行を返してくれません。

Computer, Development, Programming

Linux上のCasperJS/PhantomJS/SlimerJSでShift JIS/EUCを取り扱う方法

11月 18, 2013 #JavaScript 投稿者 yohgaki

Linux上のCasperJS/PhantomJS/SlimerJSからShift_JIS/EUC-JPのページを取り扱う事が出来なくて困っていたのですが、解決策が分かりました。

Computer, Development, PHP Security, Programming, Secure Coding

PHPのJSONのエスケープ

11月 15, 2013 #JavaScript, #JSON, #PHP, #エスケープ, #セキュアコーディング技術投稿者 yohgaki

追記：最近のOWASPガイドの更新でJavaScript文字列はUnicodeエンコードで安全性を確保するよう変更されました。元々このブログでもUnicodeエスケープのまま利用するように書いています。他の言語のユーザーはUnicodeエスケープを利用しましょう。PHPもASCII領域の文字をUnicodeエスケープするようにした方が良いと思います。これは提案して実現するように努力します。

JSONはJavaScriptのオブジェクトや配列を表現する方式でRFC 4627で定義されています。メディアタイプはapplication/json、ファイル拡張子はjsonと定義されています。

PHPにJSON形式のデータに変換するjson_encode関数とjson_decode関数をサポートしています。

JSON関数がサポートされている話は簡単！となれば良いのですが、いろいろ考慮しなければならない事があります。

TL;DR; PHPのjson_encode()を安全に利用する方法

json_encode()を利用する場合

$json = json_encode($data, JSON_HEX_TAG | JSON_HEX_AMP | JSON_HEX_APOS | JSON_HEX_QUOT);

と利用します。これでもまだ最適なエンコード方式とは言えませんが、デフォルトとして最低限必要なオプションが

JSON_HEX_TAG | JSON_HEX_AMP | JSON_HEX_APOS | JSON_HEX_QUOT

です。

JSONデータの文字エンコーディングは基本UTF-8です。UTF-8文字データは”予めバリデーションしておく”必要があります。

Computer, PHP Security, Programming, Secure Coding

PHPの比較とBOOL/NULL型の話

11月 13, 2013 #PHP 投稿者 yohgaki

先日、10年以上勘違いをしていたことがPHPの開発者MLで議論して発覚したので、その大恥を披露します。

PHPの比較とBOOL/NULL型の話です。

Computer, Development, PHP Security, Programming, Secure Coding

PHPのスクリプトを色々な環境で試すサービス

11月 8, 2013 #PHP 投稿者 yohgaki

PHPで開発したり、記事を執筆する時には色々な環境で試したい場合があります。自分の環境で試すのも良いですが、Webサイトにコピー＆ペーストで試せると便利です。あまり知られていない（？）ようなので紹介します。

Computer, Programming, Secure Coding

RailsのJavaScript文字列エスケープ

11月 7, 2013 #JavaScript, #Rails, #エスケープ, #セキュアコーディング技術投稿者 yohgaki

RailsはJavaScript文字列エスケープメソッドをサポートしています。JavaScript文字列エスケープのエントリで様々な議論があったようです。弊社ではRailsアプリのソースコードも検査しているので、参考としてRailsのソースコードを確認したことを追記をしたました。Rails開発者に直して頂きたいので独立したエントリにしました。

参考：

Computer, Development, PHP Security, Programming, Secure Coding

Webアプリの入力はバリデーションできない、という誤解

11月 6, 2013 #アンチプラクティス, #セキュアコーディング, #リスク管理投稿者 yohgaki

Webアプリの入力はバリデーションできない、と誤解している方は少なく無いようです。システム開発に関わる人でなければ誤解していても構わないのですが、システム開発者が誤解していると安全なシステムを作ることは難しいでしょう。

Webアプリの入力はバリデーションできない、と誤解している開発者にも理解できるよう噛み砕いて解説してみます。

Computer, Development, PHP Security, Programming, Secure Coding

JavaScript文字列のエスケープを回避する方法

11月 4, 2013 #JavaScript, #JavaScriptインジェクション投稿者 yohgaki

JavaScriptの文字列をエスケープのエントリでJavaScript文字列をエスケープ後に直接出力するより、DOMから取得してはどうか？という提案があったのでエントリを作成しました。

Computer, PHP Security, Programming, Secure Coding, Security

エンジニア必須の概念 – 契約による設計と信頼境界線

11月 3, 2013 #セキュアコーディング論理, #ゼロトラスト, #ベストプラクティス, #信頼境界, #入力バリデーション, #出力対策, #契約プログラミング投稿者 yohgaki

少し設計よりの話を書くとそれに関連する話を書きたくなったので出力の話は後日書きます。

契約による設計（契約プログラミング）（Design by Contract – DbC）は優れた設計・プログラミング手法です。契約による設計と信頼境界線について解説します。
もっと読む

Computer, Development, PHP Security, Programming, Secure Coding

SQL識別子のエスケープ

10月 28, 2013 #PHP, #SQLインジェクション, #エスケープ, #セキュアコーディング技術投稿者 yohgaki

SQLのリテラルはエスケープが必要であることは広く認知されていると思います。しかし、識別子のエスケープはあまり広く認知されていないように思います。

PostgreSQLの場合、識別子のエスケープAPI（libpqのPQescapeIdentifier）が提供されておりPHPでもpg_escape_identifier()として利用できます。PostgreSQLの場合は”（ダブルクオート）で識別子を囲むことにより、ダブルクォート無しでは利用できない文字（例えば日本語）も識別子に利用できるようになります。
もっと読む

Development, Programming, Secure Coding

岡山Ruby会議02のプレゼンテーション資料「Rials4 Security」

7月 8, 2013 #Rails, #Ruby, #プレゼンテーション投稿者 yohgaki

岡山Ruby会議02が先週末の土曜日にありました。私は「Rails 4 セキュリティ」をテーマに講演させていただきました。

プレゼン資料だけでは分かりづらいと思いますが、参考までに公開します。

Rails4Security.pdf

追記：肝心なところで記述漏れがあり、誤解もあったので解説を追加しています。こちらも合わせてご覧ください。

http://blog.ohgaki.net/rails4

Computer, Programming, Security

Sessionアダプション脆弱性の修正

6月 26, 2013 #PHP, #セッション管理, #脆弱性投稿者 yohgaki

やっとPHPのセッションアダプション脆弱性を修正するパッチとプルリクエストを作りました。議論は済んでいるのでパッチを検証、調整してマージするだけです。

PHPに限らず、未初期化のセッションIDを正規のセッションIDとして受け入れてしまうセッション管理機構があります。（Javaとか）

サイトで稼働している全てのアプリが正しいセッション管理（ログイン後にセッションID作り直す。ログオフで廃棄。一定時間経過後、セッションIDを再生成）を実行していれば良いのですが、共有環境や複数のアプリが使われる事が多いPHPでは特にリスクが高くなっています。

未初期化のセッションIDを受け入れてしまうセッション管理機構は脆弱だと言って良いと考えています。セキュリティのベストプラクティスには確立されたセキュリティ手法（ベストプラクティス）はそのまま使うべき、というプラクティスがあります。つまり、信頼できるフレームワークのセッション管理機構をそのまま使いなさい、がベストプラクティスという事です。しかし、フレームワークとしてURLへのセッションID埋め込みをサポートしているのに、簡単に直せるセッションアダプションを修正しないフレームワークは到底「ベストプラクティスを実装している」と言える状態ではないと考えています。

セッションアダプション脆弱性についてはPHPのWiki（英語のみ）に書いています。詳しくは以下のWikiを参照してください。

Computer, Development, PHP Security, Programming, Security

Webノウハウシェア2013のスライド

6月 1, 2013 #PHP, #プレゼンテーション投稿者 yohgaki

5月24日（金）に開催されたWeb担当者向けのセミナーの「Webノウハウシェア2013」にBOSS-CON JAPANのPHP Security AlianceのCTOとして講演してきました。その講演のスライドです。

http://www.slideshare.net/yohgaki/boss-conphp

Javascriptを利用した内部ネットワークのスキャンが可能である事は良く知られていると思います。ここ数年セキュリティ研究者は更に企業ネットワーク内の奥深くに侵入する手法を研究しています。

企業内のシステムはインターネットに公開するシステムに比べると甘いセキュリティ対策が採用される事が多いですが、インターネットと同様のセキュリティ対策を行わないと思わぬリスクが発生します。特にSSRFの脅威は広範囲に渡ります。正しく理解しておく必要があります。

追記：PHPユーザに取って重要な事の1つを紹介しておきます。

PHP-FPMを利用する場合、php_admin_value, php_admin_flagでphp.iniを設定する方が良いでしょう。手元のFedora18のNginx+PHP-FPMでPoCをそのまま実行した所、エラーになって攻撃は成功しませんでしたが、php.iniの設定をリモートから変更できるとする情報もあります。

追記：ブログアプリ変更でリンクが無くなっていたので、SlideShareの方に公開しました。

Computer, Programming, Secure Coding

第四回岡山PHP勉強会

3月 29, 2013 #PHP, #プレゼンテーション投稿者 yohgaki

岡山PHP勉強会で使ったスライドです。

カテゴリー: Programming

TL;DR; PHPのjson_encode()を安全に利用する方法