XSSに比べSQLインジェクションは非常に簡単に防げる脆弱性ですが、まだまだなくなりません。 SQL Injection Cheat Sheetが公開されています。 http://ferruh.mavituna.com/makale/sql-injection-cheatsheet/ 追記：上記ページはもう無いようです。以下のURLをご覧ください。 http…

MOPBでPHPのセキュリティホールばかり書いているので「PHP本体のコード、最低だね」と思われているかも知れません。他の言語でも「最低」なコードは探せば いくつでも見つかると思います。今日、full-disclosureに投稿された記事です。 Description: The source of python contain a various modul…

少し前になりますが小泉前首相が安部首相に対して「鈍感力も大事」と言っていましたが、良い事を言うなあ、と思って聞いていました。「鈍感力」は日常生活でも必要不可欠です。 例えば、道を歩いているだけでも交通事故合うかもしれないです。飛行機に乗ると墜落するかも知れません。もしかすると寝ていても隕石が落ちてきてあたるかも知れません。隕石に当たって死亡する事を心配する人…

偶然ではないかも知れませんが、同じ時期に同じような物がリリース/改定するとアナウンスされています。 http://cwe.mitre.org/data/dictionary.html （こちらはDraft5） http://www.webappsec.org/lists/websecurity/archive/2007-03/msg00041.html （2…

MOPBでPHPの脆弱性ばかり書いているので書いておきます。 critical: Arbitary code execution and denial of service CVE-2007-0774 An unsafe memory copy in the URI handler for the native JK connector could resu…

MOPBでPHPのセキュリティ問題ばかり書いているので書いておきます。 Multiple cross-site request forgery (CSRF) vulnerabilities in TKS Banking Solutions ePortfolio 1.0 Java allow remote attackers to perform unspec…

MOPBでPHPの脆弱性ばかり書いているので他の脆弱性も書いておきます。 Miles Egan discovered that mod_python, when used in output filter mode, did not handle output larger than 16384 bytes, and would display freed …

MOPBでPHPの脆弱性ばかり書いているので書いておきます。 Multiple unspecified vulnerabilities in WebAPP before 0.9.9.6 have unknown impact and attack vectors. NOTE: This information is based upon a vague in…

MOPBでPHPの脆弱性ばかり書いているので他の脆弱性も書いておきます。 Miles Egan discovered that mod_python, when used in output filter mode, id not handle output larger than 16384 bytes, and would display freed m…

Stefanさんのブログによると、MOPBのおかげでリファレンスカウンタ、allow_url_include(とallow_url_fopen)のセキュリティホールがやっと修正されることになったようです。ブログの内容はリンク先を見ていただくとしてMOPBの成果として修正された問題についてコメントします。 (さらに…)