セキュリティースレッド
ちうか、レッツPHP,半角カタカナ使ってる時点でおわってないか? 適切なcharsetを指定すれば、半カナを使ってもなんら問題ありません。 >>108 なんでやねん? 別におかしくないと思うが? 半角カタカナコードをちゃんと持っているキャラクタエンコードで ドキュメント書いてあるじゃん。 今時Shift_jisに対応できないブラウザも皆無だしね。 だから>>108 はもちっと勉強してきなさい。 PHPのポートスキャナを自鯖に来た客人に使えるように してあるのだが、まずいか? メール送信プログラムを誰でも誰宛にも使えるように してあるのだが、まずいか? PHP版探検君を誰でも使えるように してあるのだが、まずいか? ━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━― ∧_∧ ピュ.ー ( ^^ ) <これからも僕を応援して下さいね(^^)。 =〔~∪ ̄ ̄〕 = ◎――◎ 山崎渉 >>116 禿同 話変わるけど、携帯ゲーム機"プレイステーションポータブル(PSP) このPSPは、新規格UMD(ユニバーサルメディアディスク)というディスクを利用しており、そのサイズは直径6cmととても小さい(CDの半分程度)。 容量は1.8GBとなっている。 画面は4.5インチのTFT液晶で、480px x 272px(16:9)。MPEG4の再生やポリゴンも表示可能。外部端子として、USB2.0とメモリースティックコネクタが用意されているという。 この際、スク・エニもGBAからPSPに乗り換えたらどうでしょう。スク・エニの場合、PSPの方が実力を出しやすいような気がするんですが。 任天堂が携帯ゲーム機で圧倒的なシェアをもってるなら、スク・エニがそれを崩してみるのもおもしろいですし。かつて、PS人気の引き金となったFF7のように。 突然こんな事言い出してごめんなさい・・・ __∧_∧_ |( ^^ )| <寝るぽ(^^) |\⌒⌒⌒\ \ |⌒⌒⌒~| 山崎渉 ~ ̄ ̄ ̄ ̄ ∧_∧ ∧_∧ ピュ.ー ( ・3・) ( ^^ ) <これからも僕たちを応援して下さいね(^^)。 =〔~∪ ̄ ̄ ̄∪ ̄ ̄〕 = ◎――――――◎ 山崎渉&ぼるじょあ ☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆ ★☆ 夏休みは GETDVDで 満喫・満喫! ☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆ ☆★ 送料激安!! 送料激安!! 送料激安!! ★☆ http://www.get-dvd.com ☆★ 激安アダルトDVDショップ ★☆ お買い得!! 1枚500円〜 急げ! ☆★ インターネット初!「きたぐに割引」 ★☆ 北海道・東北の皆様は送料も激安! ☆★ http://www.get-dvd.com ★☆ スピード発送! ☆★ http://www.get-dvd.com ★☆ 商品が豊富! ☆★ http://www.get-dvd.com ★☆ ☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆ (⌒V⌒) │ ^ ^ │<これからも僕を応援して下さいね(^^)。 ⊂| |つ (_)(_) 山崎パン 自サイトのページに以下のように外部サイトのスクリプトを読み込んでアクセスログを取ってます。 <img src="http://www.hoge.com/fuga.php "> しかし、ブラウザのステータスバーの地球マークの左横に 赤い「セキュリティレポート」のマークが出てしまいます。 外部スクリプトの何が原因でこれが出るのでしょうか? 出さない方法を知りたいです。 外部スクリプトで行っているのは、閲覧者のIPアドレス、ユーザーエージェントを取得して、 DBに保存しているだけです。Cookieの取得はやっていません。 おい、おまいら。 今なら、はてなダイアリーにて、ウザいキーワードをこっそり削除できますよ? ---- naoya 『キーワード登録の際のPOSTの中身に、cnameとoldcnameというのがあって、 これらが異なっていればカテゴリ移動と判断されて「change category to」扱いになります。 つまり、もともと削除予定キーワードであっても、oldcmaneをウェブとかにして、 cnameを削除予定にすれば、 change category to 削除予定キーワードが連続で 記録されることになります。』 (2005-08-08 13:15:43) naoya 『ということは逆に、削除予定にしたいけど編集者に通知メールを送りたくない、 という場合には、oldcname,cnameをともに削除予定にしてしまえば (change category扱いにならないので)よいわけです。』 (2005-08-08 13:17:36) ---- 初歩的なことで申し訳ないですが isapiフィルタを使って、もしくは何かしらのフィルタをかけて querystringの特定文字列をreplaceする方法ってどうやりますか? サニタイジングを一括で出来ればいいなと思ってまして。 またpostの場合も同様の処理は出来ますか? PHPに深刻な脆弱性がある事が発表されました。今まで見つかったPHPの脆弱性の中でも「最悪」の脆弱性です。全てのPHPユーザは今すぐ対処を行う必要があります。 PHPに“最悪”のセキュリティ・ホール,全ユーザーは今すぐ対処を http://itpro.nikkeibp.co.jp/article/NEWS/20051102/223939/ Fedora core3の場合はどうすればいいんだろう。 RPMがどこかで公開されているのだろうか、それとも自分でmakeとやらを しなければいけないのだろうか。 自鯖ってこういう時に困る。 User-Agentをサニタイズしてないスクリプトが多すぎ $HTTP_COOKIE_VARS = array_map('htmlspecialchars', $HTTP_COOKIE_VARS); $_SERVER = array_map('htmlspecialchars', $_SERVER); これでおk? ありゃ、2行目でエラー出た。 User-Agentだけでも大丈夫かなあ。 >>146 $_SERVER['PHP_SELF'] はサニタイズ必要 >>145 $_SERVER使うなら$_COOKIEの方がいいんじゃない $HTTP_COOKIE_VARS 使うなら $HTTP_SERVER_VARS 使え、と htmlspecialcharsよりむしろコントロールコードのほうがヤバイんだけど・・・ 改行、ヌル、タブが送られてきてもそのスクリプトは大丈夫かい? HTTPヘッダが丸見えになったり、ブラウザが真っ白になったり、データファイルが破壊されたりしないかい? 俺はある共有レンタル鯖を借りてるんだが、 ttp://itpro.nikkeibp.co.jp/article/NEWS/20051102/223939/ 上のソース付きで PHPのセキュリティホールが見つかったのでバージョンを上げてくれって メールを4日ほど前に送ったんだが、未だに返事が無い・・・ うかつにバージョン上げたら、既に動いているスクリプトに影響があるので 対応が難しいのは判るんだが、セキュリティホールに対して対応するのは鯖屋の 義務じゃないのだろうか? サーバがダウンするようなスクリプト組めば、鯖屋も対応してくれるかな? WADAXは問答無用でバージョンアップの連絡が来た。 ECとかで不具合起こした会社とかってあるのかな。 こういうことがあると商用の共有サーバはリスキーだね。 PHPのメーリングリストに、本日付で大垣氏よりPHP4.4.0以下のセキュリティホールに ついてのまとめが投稿されたようです。 ttp://ns1.php.gr.jp/pipermail/php-users/2005-November/027936.html 思ったよりたいした事無いのかな? register_globals = offなら、問題ないということで。 なんて過疎スレなんだ。 PHPがいかにセキュリティ的にダメダメかを物語っているな。' cookieを自動で[deleted]とかって書き換えるようなソフトってある? 漏れが発行したcookieが結構な確率でdeletedってなってるみたいなんだけど・・・ 色々読み漁ってみたり、人に話し聞いてみたりしたけど、 イマイチ自信が持てないセキュリティー これを押さえとけってのがあるといいんだがなぁ はてなAPIを調べていて、気になった事が。 認証時に送るデータのひとつに、PasswordDigest というものがあって、 「Nonce, Created, パスワード(はてなアカウントのパスワード)を文字列連結し SHA1アルゴリズムでダイジェスト化して生成された文字列を、 Base64エンコードした文字列」という説明があります。 自分のパスワードに色々文字列をくっつけた、ハッシュ (ダイジェスト) 値って事ですよね。 という事は、正しいかチェックするには生パスワードが必要になるわけですよね。 つまり、はてなのサーバ側ではパスワードの管理を、ハッシュ値ではなくて、 元の文字列そのままデータベースに保存している、と。 話にならないセキュリティですね。 WEB2.0だアジャイルだと寝言ポエム唱える前に、基礎的な技術を習得すべきですよ。 >>164 お前なんでこんな面白スレ、今まで隠してたんだよ。 >>161 には大笑いさせてもらった。さすがwebprog板、香ばしさが一味違う。 >>161 の件について回ってみたら、パスワードを使い回してる香具師は馬鹿だから何の問題もないとか、 費用対策効果を考えると順当だとか、問題視することかなぁ、とか書いてあるが、 問題なく出来ることをしないのは訳が分からない。 アホか?とか思うんだけど、俺がアホなんでしょうか。 Fujitsu MyWeb Products SQL Injection Vulnerabilit ttp://secunia.com/advisories/20178/ CRITICAL: Moderately critical SOLUTION: Contact the vendor for updated versions. ttp://www.myweb-jp.com/resq/ メール送信プログラムのセキュリティについて。 昨夜、うちのメールフォームから10通連続で変な送信がありました。 遅れないはずの BCC やら CC に宛先を加えているのです。 ヤフってみたら同じようなのが数件出てきました。 CC:buletmann@aol.com BCC:buletmann@aol.com ttp://search.yahoo.co.jp/search?p=buletmann@aol.com これは、スパムの中継にしようとしてるのでしょうか? 誰か教えて下さい。これは危険なんですか? CGIのセキュリティホールを突かれてる? >>170 まずメールフォームに使ってるCGIとそのバージョンを書け。 世の中にメールフォームがどれだけあると思ってるんだ。 サーバ上に置いたデータファイルを不特定の第三者に 閲覧されないようにするためにすべき常套手段ってどんなの? 「オレはこうやってる」というのでも良いので披露して下さい。 1.htaccessでCGI等からしかアクセスできないよう制限をかける。 2.拡張子をcgiにする(必要に応じてパーミッション変更)。 3.上記併用。 4.その他。 ちなみに、1と2だとどっちの方が強固? ディレクトリのパーミッションを700にするのもあり。 拡張子をcgiにするのは格好悪いからやめたほうがいいんじゃないかな。 多くのHTTPDでは.で始まるファイルはインデックスに表示されないし 標準的なApacheなら.htで始まるファイルは Deny from all なので .htmydataみたいなファイル名にするのが俺的おすすめ。 でも他人の管理が前提なら必ず.で始まるファイルが作れないと言ってくるので やめたほうがいいと思うけど。 >>175 か、別サーバのDBMSに突っ込む 拡張子を.cgiにするのはクズ レスありがとうございます! 自分の知識の低さを露呈してしまって恥ずかしい限りです。 >>175 うぅむ、確かにそれが一番手っ取り早くて安全かも。 >>176 詳しいアドバイスどうもです! レン鯖なんかだと無作法な覗き屋さんが居たりすることもあるっぽいので 拡張子をcgiにしとけばcsvやdatなんかよりは多少なりともカモフラージュになるかな、 という理由もあって、おまじないのような感じでcgiにしてる。 でも、やっぱカコ悪いよね・・・。 >.htmydataみたいなファイル名にするのが俺的おすすめ。 こんな発想微塵もなかった!すごい! Windows環境で直接データファイルを扱うときのことや レン鯖のことを考えると汎用性は若干落ちるけど、 現状では問題ないので、さっそくマネさせてもらいます。 でも、 >ディレクトリのパーミッションを700にするのもあり。 これが一番簡単な気がする・・・。けど磐石ではない? >>177 >別サーバのDBMSに突っ込む これだと、第三者はパスもほぼ推測不能だし最強だなぁ。 でも、セキュリティと手間とを天秤に掛けると個人的には気後れしちまう。 いわゆる一流企業の個人情報管理とかだとこんなの当たり前だったり? >>178 >いわゆる一流企業の個人情報管理とかだとこんなの当たり前だったり? それ以上。暗号化して格納してたりする。鯖ごと持ってかれても解読不能。 拡張子cgiは格好悪くとも実用的で実際に効果がある方法だろ。 保険という意味でも悪くないと思うがな。 phpだと大規模なフレームワークやオープンソースプロジェクトも同じ対策取ってるし。 そもそも拡張子cgiがなぜ格好悪いのか理解できないオレガイル。 既存のシステムだけでこと足りて、その利点をうまく流用した評価すべき例だと思うんだが。 無知なクライアントに対してはとりあえず使っとけ、みたいな感じはするけど、 そんなとこから「格好悪い」というイメージが出たのかな。 セキュリティを考えた場合は、拡張子がなんであれ、 サーバのドキュメントルートの配下に、 不特定の第三者に、見られて困るような情報を、置くべきではないです。 そうは言っても無料スペースはpublic_htmlだけだからなぁ。 上の例は極端ですが、前提条件を明確にせずに言い合いしても 意味ないですよ。セキュリティーは青天井ですから。 仕様外の動作が偶々動いているだけだから。 cgiという拡張子で実行ビットが立っていないものは、そのまま 送信するという動作に、突然変えられたらどうする気だ? 正攻法とか裏技とか原則とかそういう観念的なことは別にして、 実際のところドキュメントルート下に置いてある拡張子cgiのファイルを 悪意の第三者が見ることは可能なの? >>185 >正攻法とか裏技とか原則とかそういう観念的なことは別にして そこを別にされるとなんとも答えようが無いが、何も対策してなければ 覗き見自体はいくらでも可能。 あと、安全性の議論で言うところのリスクとハザードみたいな考え方も大事だな。 素人の見解であることをあらかじめ断っておきます。 間違いがあれば容赦なく訂正してください。 >>185 187の言う通り条件による。拡張子をcgiにする方法は、httpdが 1. cgiの拡張子がついたファイルを常にcgiとして実行しようとすること 2. 1で実行属性のない場合や実行するファイルとして不正な内容だった場合にエラーを返すこと 3. 2のエラー表示にファイルの内容が含まれないこと という動作をする場合に限り有効。ファイルの存在そのものを隠すためには 4. 2のエラーは404を返す こと。 >>190 > 不正な内容だった場合にエラーを返すこと 不正な内容であることを確認するためには実行する必要があるが、 その結果エラーになることをhttpdは担保できない。 PHPの投稿フォームで<a>タグ <img>タグと ダブルクオートを許可したのですが、 セキュリティは、どんなところに気をつければいいでしょうか? imgタグで画像ファイルでないものを画像ファイルの拡張子で指定した場合、 IE6馬鹿ブラウザは、HTMLファイルとしてレンダリングしてしまうので、 XSSなどの脆弱性が生じる。 つまり、投稿フォームを閲覧しただけで、何らかのスクリプトが発動可能になる。 <img>タグは、許可しない方がいい。 ダブルクォートは、実体化した方がいい。 *[日記]id:Hamachiya2さんのこと WEB+DBプレスを見た。 はまちちゃんがデブサキモヲタでショック。 あのサスペンダーはありえないでしょう。 そりゃ「中学出たての未成年女子」だとは 思ってなかったけどさ。これはひどい。 いまどき吊りズボンかよっ。 すいません、何か最近サイトのindex.phpが勝手に書き換え られるんですけど、これ何なのでしょう? ページの最後に 見覚えのないJavaScriptのタグが埋め込まれています・・・。 <script language="JavaScript">e = '0x00' + '54';str1 = "%EF%B・・・ といった感じのやつです。 一つではなく、複数のサイトで被害にあっているんですが、これ ってウイルス仕込まれているんでしょうか? そのコードをそのまんまヤフー検索したら、index.php開いて最後にあるやつ消せとか書いてるページがあった ttp://www.rockettheme.com/forum/index.php?topic=11361.msg56175 スクリプト部分を抜き出してjs(WSH)化し、出力しようとしている文字列を抽出したら ttp://givecnt.info/ld/ment/ というurlを隠しフレームで表示するコードでした・・・。 セッション管理不備のネットショップが多すぎます>< 数字のみの総当たり攻撃からパスワードを守るには… 0000232 というパスを文字列として認証すれば大丈夫ですかね? CSRFやXSSの脆弱性って、腐るほどありますね。 read.cgi ver 07.5.1 2024/04/28 Walang Kapalit ★ | Donguri System Team 5ちゃんねる