Entries from 2011-01-01 to 1 year

今年読まれた人気記事トップ10+10

今年も残りわずかとなり、今年の○○トップ10というタイトルを目にする機会も増えました。徳丸のブログでも、トップ10を発表したいと思います。今年書いたブログ限定ではなく、今年もっとも読まれたブログエントリのトップ10です。Apache killerは危険〜Apache…

大垣本を読んで「バリデーションはセキュリティ対策」について検討した

このエントリでは、セキュリティの観点から、バリデーション実装について検討します。大垣さんの本を読んで「大垣流バリデーション」について勉強した結果を報告します。 はじめに 大垣さんの記事「入力バリデーションはセキュリティ対策」では、「入力バリ…

「徳丸本をブロガーに差し上げちゃうキャンペーン」当選者のお知らせ

「徳丸本をブロガーに差し上げちゃうキャンペーン」ですが、先週末に選考を行い、当選者には個別に連絡させていただきました。当選表明のブログが出そろいましたので発表いたします。当選者は以下のブロガーの皆様です。 http://blog.omegatakuma.com/archiv…

徳丸本をブロガーに差し上げちゃうキャンペーンのお知らせ

「徳丸本」こと「体系的に学ぶ 安全なWebアプリケーションの作り方」は、このたび増刷(第5刷)が決定いたしました。皆様のご愛読に深く感謝申し上げます。増刷を記念して、徳丸本を買いたくてもまだ買えていなかった方々に、徳丸本を進呈するキャンペーンを…

何が正しいのかを考える際は、正しさの基準が必要

大垣さんの寄稿記事「第44回 セキュリティ対策が確実に実施されない2つの理由:なぜPHPアプリにセキュリティホールが多いのか?|gihyo.jp … 技術評論社」のまとめにて、『最後に「何が正しいのか?」常に考えるようにしてください』と書かれています。この部…

11月24日(木)トレンドマイクロ&KCCS共催セミナーで講演します

トレンドマイクロとKCCSが共催するセミナーで基調講演することになりました。テーマはインターネットからのサーバー(主にWebサイト)を如何に防御するかについてですが、海外に関連会社を多数持つ企業のWebサイトのガバナンスの事例についても触れます。と…

「SQLインジェクション対策」でGoogle検索して上位15記事を検証した

このエントリでは、ネット上で「SQLインジェクション対策」でGoogle検索した結果の上位15エントリを検証した結果を報告します。 SQLインジェクション脆弱性の対策は、既に「安全なSQLの呼び出し方」にファイナルアンサー(後述)を示していますが、まだこの…

「徳丸本ができるまで」スライドを公開します

まっちゃ445などで発表に使用した「徳丸本ができるまで」のスライドを公開します。発表時の原稿の後半を少しカットして、最新の状況を加筆しました。 徳丸本ができるまで View more presentations from Hiroshi Tokumaru [PR]「体系的に学ぶ 安全なWebアプリ…

YAPC::Asia Tokyo 2011でパスワードについてトークしました

既にこのブログでも報告しましたが、10月14日、YAPC::Asia Tokyo 2011でパスワードについてトークしてきました。スライドとビデオは以下のサイトにあります。 オフィシャルサイト HASHコンサルティング・オフィシャルブログ 私はWebアプリケーションのセキュ…

YAPC::Asia Tokyo 2011でベストトーク賞3位をいただきました

YAPC::Asia Tokyo 2011で「Webアプリでパスワード保護はどこまでやればいいか」というタイトルでトークして、投票によりベストトーク賞3位というのをいただいたそうです。 「そうです」というのは、実は発表・表彰の際に会場にいなかったという大失態を演じ…

CookieのDomain属性は *指定しない* が一番安全

たまに誤解があるようですが、Cookieを設定する場合のDomain属性は *設定しない* のがもっとも安全です。以下、例示により説明します。※このエントリは、http://blog.tokumaru.org/2011/10/cookiedomain.html に移転しました。恐れ入りますが、続きは、そち…

私はいかにしてOperaブラウザのCookie Monster Bugを確認したか

昨日の日記「都道府県型JPドメインがCookieに及ぼす影響の調査 | 徳丸浩の日記」にも書きましたが、Operaブラウザの最新版(11.51)には、地域型ドメインの場合にCookie Monster Bugがあります。以下は、三重県の志摩市のドメイン(www.city.shima.mie.jp)上…

『よくわかるPHPの教科書』のSQLインジェクション脆弱性

このエントリでは、数値型の列に対するSQLインジェクションについて説明します。以前のエントリで、たにぐちまことさんの書かれた『よくわかるPHPの教科書』の脆弱性について指摘しました。その際に、『私が見た範囲ではSQLインジェクション脆弱性はありませ…

「安全なWebアプリケーションの作り方」電子書籍版9月28日(水)販売開始します

このエントリでは「体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践」(いわゆる徳丸本、#wasbook)の電子書籍版が9月28日(水)に販売開始されるというお知らせをします。大変要望の多かった徳丸本の電子書籍版ですが、…

PHPのイタい入門書を読んでAjaxのXSSについて検討した(3)〜JSON等の想定外読み出しによる攻撃〜

昨日の日記の続きで、Ajaxに固有なセキュリティ問題について検討します。今回はJSON等の想定外読み出しによる攻撃です。これら攻撃手法は本来ブラウザ側で対応すべきもので、やむを得ずWebアプリケーション側で対応する上で、まだ定番となる対策がないように…

PHPのイタい入門書を読んでAjaxのXSSについて検討した(2)〜evalインジェクション〜

昨日の日記の続きで、Ajaxに固有なセキュリティ問題について検討します。タイトルはXSSとなっていますが、今回紹介する脆弱性はXSSではありません。 作りながら基礎から学ぶPHPによるWebアプリケーション入門XAMPP/jQuery/HTML5で作るイマドキのWeから、Ajax…

PHPのイタい入門書を読んでAjaxのXSSについて検討した(1)

このエントリでは、あるPHPの入門書を題材として、Ajaxアプリケーションの脆弱性について検討します。全3回となる予定です。 このエントリを書いたきっかけ twitterからタレコミをちょうだいして、作りながら基礎から学ぶPHPによるWebアプリケーション入門XA…

徳丸浩関係の日記ページビューランキングTOP10(2011年8月)

このサイト、旧徳丸浩の日記、新徳丸浩の日記のトータルで2011年8月のページビュートップ10を集計してみました。ブログが分かれているので集計めんどくさい:( Apache killerは危険~Apache killerを評価する上での注意~ | 徳丸浩の日記 PHP5.3.7のcrypt関数…

最近発覚したパスワードに関する重大な脆弱性4選

最近、パスワードにまつわる重大な脆弱性を見かけることが多いように思いますので、その中から4つを選んで紹介します。既に私のブログで紹介したものや、少し古い問題も含まれます。 PHP5.3.7のcrypt関数がハッシュ値を返さない脆弱性 crypt関数は、様々なハ…

もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら

たにぐちまことさんの書かれた『よくわかるPHPの教科書(以下、「よくわかる」)』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)…

PHPカンファレンス2011にて講演します

PHPカンファレンス2011講演公募枠に応募して採択いただきましたので、講演することになりました。9月10日(土)、場所は蒲田の大田区産業プラザ PiOです。詳細は、講演プログラムをご覧ください。 タイトルは、「徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2011」…

phpMyAdminにおける任意スクリプト実行可能な脆弱性の検証

phpMyAdmin(3.3.10.2未満、3.4.3.1未満)には、リモートから任意のスクリプトが実行可能な脆弱性があります。このエントリでは、この脆弱性が発生するメカニズムと対策について報告します。 概要 phpMyAdminには下記の2種類の脆弱性の組み合わせにより、リ…

EZ番号に関する注意書きが変更された

今日、KDDIのEZfactoryのEZ番号に関する説明が変更されていました。2011年6月9日の内容(URLは魚拓)赤字はママ HTTP Requestヘッダ情報では、この他にHTTP_X_UP_SUBNOフィールドにてEZ番号が確認できます。EZ番号は、ユーザの端末操作によって、送出しない…

勝手に補足:レガシーPHPのセキュリティ対策,大丈夫ですか?未修正の脆弱性(2)

第4回 未修正の脆弱性(2):レガシーPHPのセキュリティ対策,大丈夫ですか?|gihyo.jp … 技術評論社という記事を読みました。とても重要なことが記載されている一方で、記述の間違い及び記述もれがあるため、読者の便宜のため勝手に補足したいと思います。…

みずほダイレクトの謎

ソフトバンク携帯電話のSSL方式変更に伴い、みずほ銀行のモバイルバンキングが一部使えなくなっていましたが、昨日復旧したようです。 7月3日時点では、みずほダイレクトのトップに以下のように表示されていました。URLは魚拓のものです。 現在、ソフトバン…

モバイルバンキングは今でもsecure.softbank.ne.jp方式が主流

6月30日のsecure.softbank.ne.jp廃止*1にともない、みずほダイレクトにおいて、ソフトバンクの携帯電話からログインできなくなるという障害が報告されています(リリース)。 他の銀行はどうかと思い、軽く調べて始めたところ、モバイルバンキングでは今でも…

私はいかにしてソフトバンク端末60機種のJavaScriptを検証したか

昨日のソフトバンクの非公式JavaScript対応の調査結果 | 徳丸浩の日記で報告したように、昨年5月に、ソフトバンク60機種の検証を行い、JavaScript対応の状況などを調査しました。当時はまだ公式なJavaScript対応機種はない状態でしたが、既にほとんどの端末…

PHPにおけるファイルアップロードの脆弱性CVE-2011-2202

PHPの現行バーション(PHP5.3.6以前)には、ファイルアップロード時のファイル名がルート直下の場合、先頭のスラッシュを除去しないでファイル名が渡される問題があります。CVE-2011-2202として報告されています。 後述するように影響を受けるアプリケーショ…

EZwebの2011年秋冬モデル以降の変更内容とセキュリティ上の注意点

au/KDDIの技術情報サイトEZfactoryには、2011年秋冬モデル以降にEZwebの仕様変更がある旨表示されています。セキュリティ上の問題の可能性もあるため以下に報告します。 EZfactoryトップページでの告知内容 EZfactoryトップページには、2011年秋冬モデルでの…

PHPのsocket_connect()関数における *つまらない* 脆弱性の話

Scan Tech Report(無償版)を読んでいたら、PHP には、socket_connect() 関数の脆弱性(CVE-2011-1938)があると紹介されていました。調査の結果、この脆弱性の影響を受けるPHPのバージョンとして公開されている情報は間違っているようなので報告します。 …