リンクをクリックするとデモが見れます。久しぶりにZendFrameworkのホームページを見てこのデモがある事に気が付きました。 IBMの方がZendFrameworkを利用して作っているらしいです。AJAXはもちろんですが、Wikiコマンドと言うシンプルな言語でいろいろ拡張できるようになっている様です。ドラッグアンドドロップで設定するGoogleマップと天…

このブログでZend Frameworkの事はほとんど書いていませんが、セキュリティ関係のところを少しだけ書きます。 Zend Frameworkはまだまだ作りかけ、と開発元が言っているだけあって、セキュリティに関係する部分も作りかけだったりします。 例えば、mysqliアダプタは適切にエスケープ処理されていますが、Oracleアダプタのエスケープ処理は全く…

また新しいsafe_modeをバイパスできる脆弱性を利用した攻撃方法を見つけた人がいるようです。safe_modeをバイパスできる脆弱性なので大きな問題とは思いませんが、 CVSS Severity: 7.0 (High) となっていますね.... 具体的には This issue is due to an input validation error in…

PHP 4.4.2が増えてきているようですが、半数近くが4.3ユーザだそうです。 PHP 5系は低空飛行の状態のようです。 http://www.nexen.net/images/stories/phpversion/200605/evolution.milieu.en.png アップグレードがいかに難しいかを表している数値だと思います... セキュリティホ…

PukiWiki 1.4.7が6/12にリリースされていますね。文字エンコーディングにUTF-8を使っていると思われるバージョンもあります。 ホームページには最新版は1.4.6と記載されているのでリリースと言うよりダウンロードできるようにしてあるだけかな? ところで今朝私のWikiにPukiwikiであるにも関わらず海外のSPAMMERからスパムが来ていまし…

随分前からXAMPP（ザンプ、と読むらしい。間違っていたら教えてください。）は知っていたのですが使ったことがありませんでした。基本的な開発環境はLinux、ターゲットもLinuxなので特に必要性が無かったからです。最近は時間や場所の都合からもWindows環境でもある程度の開発環境を維持する必要があったため、XAMPPを入れてみました。インストールするにあた…

PHP 4.4.3RC1がテスト中です。 PHP 4を使われている方、テストをお勧めします。

問題：まちがった自動ログイン処理の解答です。このブログエントリは最近作られたアプリケーションでは「問題」にしたような実装は行われていないはず、と期待していたのですがあっさり期待を破られたのでブログに書きました。このブログの方が詳しく書いていますけが「Webアプリセキュリティ対策入門」にも正しい自動ログイン処理を書いています。 参考：自動ログイン以外に2要素認…

PHP 5.1.4が素早くリリースされた原因の一つが「$_POST配列の要素が配列の場合、要素の値が壊れる問題」です。 この「$_POST、$_GET、$_COOKIE配列の要素に配列を使う機能」はよく知られていない機能の一つと言っても良いかも知れません。オンラインマニュアルにも解説がなかったような気がします。説明を簡単にする為に$_GETの例を紹介します。…

体調を崩している間にPHP 5.1.3がリリースされRC2以降に紛れ込んだ$_POST要素が配列である場合のバグ、FCGIのバグ等の為、PHP 5.1.4が直ぐにリリースされていますが、PHP 5.1.2から直った脆弱性は次の通りです。一部フライングで公開されていた物もあります。 # CVSのコミットログなどをチェックしている人にはもっと前から公開 # され…

A cross-site scripting (XSS) vulnerability in phpinfo (info.c) in PHP <= 5.1.2 allows remote attackers to inject arbitrary web script or HTML via long array variables, including…

Amazonの「はじめてのPHP言語プログラミング入門」に新しいコメント　:) 全体の構成は、良いが、説明文の日本語がお粗末！！。 いわゆる、て、に、を、は、が、なってない。 特に、コード内での解説文は、再度、著者、自らが見直すべきと思う。 例示：抽象メソッドに関数に中身は記述できない いたるところ、このような記述であるが、類推して読まざるを えないため、わ…

このアドバイザリのメールの日付は何故か「2005/11/13」となっているのですが4/24のメールの様です。結論から言うとこのアドバイザリは通常は「無視してOK」です。 メールではメモリ消費のPoCとして以下のコードを例示しています。 i. wordwrap() ------ <? $a = str_repeat ("A",438013); $b = …

4/18にZend Frameworkのリリースがアップデートされていますね。 詳しくはリンク先のチェンジログを見ていただくとして - Zend_HttpClient moved to Zend_Http_Client (Mike) のように互換性に関連する修正や機能追加もありますが、あまり大きな変更や追加はなく基本的にはバグフィックスリリースになっています…

ムック形式本の「極めるPHP」の続き、「超極める!PHP」に何本か記事を書かせていただきました。こんな表紙になるそうです。 Amazonの著者の順序は書いたページ数が多い順、と聞いていたので私が一番沢山書いたのですね。40～50ページの間だったと思います。