yohgaki's blog

Computer, Development, PHP Security, Programming, Secure Coding

PHPのスクリプトを色々な環境で試すサービス

11月 8, 2013 #PHP 投稿者 yohgaki

PHPで開発したり、記事を執筆する時には色々な環境で試したい場合があります。自分の環境で試すのも良いですが、Webサイトにコピー＆ペーストで試せると便利です。あまり知られていない（？）ようなので紹介します。

RailsのJavaScript文字列エスケープ

11月 7, 2013 #JavaScript, #Rails, #エスケープ, #セキュアコーディング技術投稿者 yohgaki

RailsはJavaScript文字列エスケープメソッドをサポートしています。JavaScript文字列エスケープのエントリで様々な議論があったようです。弊社ではRailsアプリのソースコードも検査しているので、参考としてRailsのソースコードを確認したことを追記をしたました。Rails開発者に直して頂きたいので独立したエントリにしました。

参考：

Computer, Development, PHP Security, Programming, Secure Coding

Webアプリの入力はバリデーションできない、という誤解

11月 6, 2013 #アンチプラクティス, #セキュアコーディング, #リスク管理投稿者 yohgaki

Webアプリの入力はバリデーションできない、と誤解している方は少なく無いようです。システム開発に関わる人でなければ誤解していても構わないのですが、システム開発者が誤解していると安全なシステムを作ることは難しいでしょう。

Webアプリの入力はバリデーションできない、と誤解している開発者にも理解できるよう噛み砕いて解説してみます。

Other

ChatWorkをまるごとコピーしたコピーサイトが中国に登場

11月 5, 2013 投稿者 yohgaki

いろんなコピー品がある中国ですが、私も利用しているChatWorkをまるごとコピーしたコピーサイトが中国に登場したようです。

Computer, Development, PHP Security, Programming, Secure Coding

JavaScript文字列のエスケープを回避する方法

11月 4, 2013 #JavaScript, #JavaScriptインジェクション投稿者 yohgaki

JavaScriptの文字列をエスケープのエントリでJavaScript文字列をエスケープ後に直接出力するより、DOMから取得してはどうか？という提案があったのでエントリを作成しました。

PHP Security

出力先のシステムが同じでも、出力先が異なる、を意識する

11月 3, 2013 #セキュアコーディング技術, #出力対策投稿者 yohgaki

出力先のシステムが同じでも、出力先が異なる場合はよくあります。これを意識していないとセキュリティ問題の原因になります。
もっと読む

Review

PHP逆引きレシピ第2版

11月 3, 2013 投稿者 yohgaki

翔泳社さんよりPHP逆引きレシピを献本いただきました。
870ページ以上もある大作です！

PHPを使ってアレがしたい、コレがしたい、といった項目が網羅されています。Webで検索するのも良いですが、私のように詳しく書かない人も多い（？！）ので、PHPでWeb開発している会社さんなら一冊手元に置いておいて損はないと思います。

PHP Security

JavaScript文字列エスケープの解説

11月 3, 2013 #JavaScriptインジェクション, #エスケープ, #セキュアコーディング技術投稿者 yohgaki

JavaScript文字列のエスケープの解説というか補足です。

Computer, PHP Security, Programming, Secure Coding, Security

エンジニア必須の概念 – 契約による設計と信頼境界線

11月 3, 2013 #セキュアコーディング論理, #ゼロトラスト, #ベストプラクティス, #信頼境界, #入力バリデーション, #出力対策, #契約プログラミング投稿者 yohgaki

少し設計よりの話を書くとそれに関連する話を書きたくなったので出力の話は後日書きます。

契約による設計（契約プログラミング）（Design by Contract – DbC）は優れた設計・プログラミング手法です。契約による設計と信頼境界線について解説します。
もっと読む

Computer, Development, PHP Security, Secure Coding

JavaScript文字列のエスケープ

11月 1, 2013 #JavaScriptインジェクション, #PHP, #XSS, #エスケープ, #セキュアコーディング技術投稿者 yohgaki

サーバー側のプログラムでJavaScriptの文字列にデータを出力するケースはよくあります。このような場合、エスケープ処理を行うことが必須です。

JavaScript文字リテラルは次のように定義されています。（ECMAScript 5.1）

PHP Security

XPathクエリ（2）

11月 1, 2013 #XPath, #エスケープ, #セキュアコーディング技術投稿者 yohgaki

XPathクエリ（1）の続きです。

現在のPHPのXPathクエリの問題はXPath 1.0である事です。通常の仕様書であれば特殊文字のある文字列の場合はエスケープ方法やエスケープAPIが定義されています。エスケープ方法が定義されていなければ「特殊文字を入力することができない」からです。エスケープ方法が無い場合は「エスケープが必要ないAPI」を用意すべきです。

しかし、XPath 1.0ではエスケープ方法もエスケープAPI、エスケープが必要ないAPIも定義されていません。このような場合、仕様を実装しているライブラリの実際の挙動を確認して利用することになります。PHPのSimpleXML、XMLXpathクラスの場合はlibxml2を利用しているので、libxml2の動作を確かめる必要があります。

Other

秘密保護法案が政府の秘密を永遠に秘密にする？！

10月 31, 2013 投稿者 yohgaki

秘密保護法案（特定秘密保護法案、秘密保全法案）が話題になっていますが、どうも議論の論点がズレている。数面にわたる新聞の記事を読んで、随分おかしな議論だと感じたのでエントリを作りました。
もっと読む

PHP Security

XPathクエリ（1）

10月 31, 2013 #XPath, #エスケープ, #セキュアコーディング技術投稿者 yohgaki

XPathはXML文書をクエリして要素を取り出す仕組みです。XML文書を検索して結果を返します。

SimpleXMLにはxpathメソッドが用意されています。
SimpleXMLElement::xpath

<?php 
$result = $simple_xml_obj->query('my/x/path'); 
?>

Computer, Development, PHP Security, Programming, Secure Coding

SQL識別子のエスケープ

10月 28, 2013 #PHP, #SQLインジェクション, #エスケープ, #セキュアコーディング技術投稿者 yohgaki

SQLのリテラルはエスケープが必要であることは広く認知されていると思います。しかし、識別子のエスケープはあまり広く認知されていないように思います。

PostgreSQLの場合、識別子のエスケープAPI（libpqのPQescapeIdentifier）が提供されておりPHPでもpg_escape_identifier()として利用できます。PostgreSQLの場合は”（ダブルクオート）で識別子を囲むことにより、ダブルクォート無しでは利用できない文字（例えば日本語）も識別子に利用できるようになります。
もっと読む

PHP Security, Security

LDAPエスケープ – PHPのldap_escape関数

10月 28, 2013 #LDAP, #エスケープ, #セキュアコーディング技術投稿者 yohgaki

OWASP TOP10の1位のセキュリティ脅威はインジェクションです。

https://www.owasp.org/index.php/Top_10_2013-A1-Injection

SQLインジェクション、コマンドインジェクションはリファレンスとして掲載されていますが、何故かLDAPインジェクションは掲載されていません。しかし、OWASPの別の文書では簡単に解説されています。