Cherenkovのブックマーク - はてなブックマーク

Cherenkov id:Cherenkov

ブックマーク / ockeghem.hatenablog.jp (10)

hiddenのあまりにも馬鹿げた使い方 - ockeghem's blog
これは面白い yohei-y:weblog: ステートレスとは何かでは、ステートレスな場合はどうなのか。客: こんにちは店員: いらっしゃいませ。○○バーガーへようこそ客: ハンバーガーセットをお願いします店員: サイドメニューは何になさいますか? 客: ハンバーガーセットをポテトでお願いします店員: ドリンクは何になさいますか? 客: ハンバーガーセットをポテトとジンジャーエールでお願いします店員: +50円でドリンクをLサイズにできますがいかがですか? 客: ハンバーガーセットをポテトとジンジャーエール(M)でお願いします店員: 以上でよろしいですか? 客: ハンバーガーセットをポテトとジンジャーエール(M)でお願いします。以上店員: かしこまりました引用元には明記されていないが、客の延々とした繰り返し部分は、ホストからhiddenフィールドで渡されてきたものを返し
Cherenkov 2012/09/07
ステートフルステートレス

REST

web
リンク
はてなブックマークボタンがマイクロアド社の新ガイドラインに従ったらこうなる - ockeghem's blog
すでにこちらでご案内の通り、私のブログ（徳丸浩の日記およびEGセキュアソリューションズオフィシャルブログ）に貼っていた「はてなブックマークボタン」により、読者の皆様の閲覧行動がマイクロアド社によりトラッキングされておりました。読者の皆様に断りなく不快な結果を強いていたことに対してお詫び申し上げます。既に当該ボタンは撤去しております。その後、株式会社はてな社長の近藤淳也氏およびはてなの日記にて行動情報の提供をやめる旨のアナウンスが一昨日ありました（こことここ）。さらに、マイクロアド社からは、昨日以下のアナウンスがありました。今後マイクロアドでは、ブログパーツや外部ボタン等、マイクロアドと直接提携関係にあるパートナー以外の第三者にあたる媒体・配信面に付与される可能性のあるものについて、それらの表示領域にマイクロアドからの行動履歴情報の蓄積を無効化するオプトアウトページへの導線設置を義務化い
Cherenkov 2012/03/15
security

privacy

microAd
リンク
大垣本を読んで「バリデーションはセキュリティ対策」について検討した - ockeghem(徳丸浩)の日記
このエントリでは、セキュリティの観点から、バリデーション実装について検討します。大垣さんの本を読んで﹁大垣流バリデーション﹂について勉強した結果を報告します。はじめに大垣さんの記事﹁入力バリデーションはセキュリティ対策﹂では、﹁入力バリデーションはセキュリティ対策である﹂が力説されています。この記事はおそらくid:ajiyoshiさんのブログ記事﹁妥当性とは仕様の所作 - SQLインジェクション対策とバリデーション﹂を受けてのことだと思います。id:ajiyoshiさんのエントリでは、﹁妥当性検証は仕様の問題であってセキュリティ対策ではありません﹂と明言されています。私はid:ajiyoshiさんに近い考えを持っていますので、大垣さんの主張について、私なりに考えてみました。記事を書くにあたり、徳丸の立場を明確にしておきたいと思います。バリデーションの基準は仕様の問題バリデーション
Cherenkov 2011/12/26
「範囲チェックのif文は&&ではなく||にすべき」であれ？と思ったけど"範囲外"の確認だからだ

security

validation
リンク
PHPのイタい入門書を読んでAjaxのXSSについて検討した(2)～evalインジェクション～ - ockeghem(徳丸浩)の日記
昨日の日記の続きで、Ajaxに固有なセキュリティ問題について検討します。タイトルはXSSとなっていますが、今回紹介する脆弱性はXSSではありません。作りながら基礎から学ぶPHPによるWebアプリケーション入門XAMPP/jQuery/HTML5で作るイマドキのWeから、Ajaxを利用したアプリケーションの概念図を引用します︵本書P20の図1-23︶。 Ajaxのアプリケーションでは、XMLHttpRequestメソッド等でデータを要求し、サーバーはXML、JSON、タブ区切り文字列など適当な形式で返します。ブラウザ側JavaScriptでは、データ形式をデコードして、さまざまな処理の後、HTMLとして表示します。以下に、Ajaxのリクエストがサーバーに届いた後の処理の流れを説明します。サーバー側でデータを作成、取得データ伝送用の形式︵XML、JSON、タブ区切り文字列等︶にエンコード
Cherenkov 2011/09/06
security

xss

tutorial

ajax
リンク
PHPのイタい入門書を読んでAjaxのXSSについて検討した(1) - ockeghem's blog
このエントリでは、あるPHPの入門書を題材として、Ajaxアプリケーションの脆弱性について検討します。全3回となる予定です。このエントリを書いたきっかけ twitterからタレコミをちょうだいして、作りながら基礎から学ぶPHPによるWebアプリケーション入門XAMPP/jQuery/HTML5で作るイマドキのWeという本を読みました。所感は以下の通りです。タレコミ氏の主張のように、本書はセキュリティを一切考慮していない主な脆弱性は、XSS、SQLインジェクション、任意のサーバーサイド・スクリプト実行︵アップロード経由︶、メールヘッダインジェクション等脆弱性以前の問題としてサンプルスクリプトの品質が低い。デバッグしないと動かないスクリプトが多数あった上記に関連して、流用元のソースやデバッグ用のalertなどがコメントとして残っていて痛々しい今時この水準はないわーと思いました。以前
Cherenkov 2011/09/05
PHP

security

ajax

HTML

XSS

javascript

wasbook

tutorial
リンク
もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem's blog
たにぐちまことさんの書かれた﹃よくわかるPHPの教科書︵以下、﹁よくわかる﹂︶﹄を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著﹁体系的に学ぶ安全なWebアプリケーションの作り方︵以下、徳丸本︶﹂の章・節毎に照らし合わせて、﹁よくわかる﹂の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。 4.2 入力処理とセキュリティ﹁よくわかる﹂のサンプルや解説では、入力値検証はほとんどしていません。しかし、入力値検証をしていないからといって即脆弱かというとそうではありません。徳丸本でも強調しているように、入力値検証はアプリケーション要件︵仕様︶に沿っていることを確認するもので、セキュリティ対策が目的ではないからです。﹁よくわかる﹂の中で、私が見た範囲で唯一の入力値検証は、郵便番号のチェックをするものです。以下に引用します︵﹁よくわ
Cherenkov 2011/08/24
wasbook

PHP

Security

book

programming
リンク
phpMyAdminにおける任意スクリプト実行可能な脆弱性の検証 - ockeghem's blog
phpMyAdmin︵3.3.10.2未満、3.4.3.1未満︶には、リモートから任意のスクリプトが実行可能な脆弱性があります。このエントリでは、この脆弱性が発生するメカニズムと対策について報告します。概要 phpMyAdminには下記の2種類の脆弱性の組み合わせにより、リモートから任意のスクリプトを実行させられる脆弱性があります。 CVE-2011-2505 CVE-2011-2506 該当するバージョンは以下の通りです。 phpMyAdmin バージョン3.3.10.2未満 phpMyAdmin バージョン3.4.3.1未満影響を受ける条件は、上記バージョンのphpMyAdminを使用していることに加えて、以下をすべて満たす場合です。 setup/index.phpとsetup/config.phpを外部から実行できる phpMyAdminのconfigディレクトリが存在し、PHP
Cherenkov 2011/08/08
PHP

security

phpmyadmin
リンク
evernoteのテキストをevernote社の管理者にも見えないように暗号化する - ockeghem's blog
このエントリでは、evernoteクライアントを使って、evernote社にも復号できない状態でテキストを暗号化する方法について紹介します。昨日、EvernoteのXSS問題に関連して、﹁Evernoteの開発者も徳丸本読んでいたらよかったのにね﹂などとつぶやいていたら、﹁EvernoteのCEOが徳丸さんに会いたがっている﹂という連絡をもらいました。こういうのは異例のことでちょっと悩みましたが、行くっきゃないだろうということで、Evernote社の日本法人でmalaさんと一緒にCEOにお会いしました。 XSSやポリシーについては非常に誠実な対応をお約束いただいたのでよいミーティングだったと思います。僕が指摘した脆弱性についても、当日の夜のうちに直っていたようです。米国時間では深夜から早朝という時間帯で、迅速な対応だったと思いますが、本題はこれからです。その場で、malaさんが﹁Eve
Cherenkov 2011/04/21
徳丸本ほしい！！

evernote

security

xss

mala

キャンペーン
リンク
とくまるひろしのSession Fixation攻撃入門 - ockeghem's blog
やぁ、みんな，元気？とくまるひろしです。今日はSession Fixation攻撃の方法をこっそり教えちゃうよ。いつもは防御側で漢字の名前でやってるんだけど，きょうは攻撃側ということで，名乗りもひらがなに変えたんだ。だってさ，今度デブサミでご一緒するはせがわようすけさんとか，はまちちゃんとか，ひらがなの人たちの方が格好良さそうじゃないか。では始めよう。このエントリは、http://blog.tokumaru.org/2009/01/introduction-to-session-fixation-attack.html に移転しました。恐れ入りますが、続きは、そちらをご覧ください。
Cherenkov 2011/02/19
PHPSESSID

cookie

php

tips

browser

security

session

xss

hack
リンク
PHPのSession Adoptionは重大な脅威ではない - ockeghem's blog
なぜPHPアプリにセキュリティホールが多いのか?‥第25回　PHPのアキレス腱にて、大垣靖男氏がPHPのSession Adoption問題について取り上げている。大垣氏は度々この問題を取り上げているが、今のところ氏の主張に同調する人を見かけない。それもそのはずで、大垣氏の主張は間違っていると私は思う。以下、大垣氏の主張を実際に試してみる形で、順に説明しよう。大垣氏の主張大垣氏の主張は、PHPにはSession Adoption脆弱性があるために、標準的なSession Fixation対策であるsession_regenerate_id()を施しても、その対策は有効ではないというものだ。しかし，実際には現在に至るまでPHPのセッションモジュールのセッションアダプション脆弱性は修正されないままになっています。このために，本来はsession_regenerate_id関数をログイン
Cherenkov 2011/02/19
PHPSESSID

cookie

php

tips

browser

security

session

xss
リンク
1