X
セキュリティースレッド
0107nobodyさん
垢版 |
02/08/07 16:19ID:npc3aggE
あげ
0108nobodyさん
垢版 |
02/08/07 16:32ID:j7/wvgk/
ちうか、レッツPHP,半角カタカナ使ってる時点でおわってないか?
0113nobodyさん
垢版 |
03/01/29 18:20ID:???
>>108
なんでやねん?
別におかしくないと思うが?
半角カタカナコードをちゃんと持っているキャラクタエンコードで
ドキュメント書いてあるじゃん。
今時Shift_jisに対応できないブラウザも皆無だしね。
だから>>108はもちっと勉強してきなさい。
0114nobodyさん
垢版 |
03/01/29 18:23ID:???
PHPのポートスキャナを自鯖に来た客人に使えるように
してあるのだが、まずいか?
0115nobodyさん
垢版 |
03/01/29 21:37ID:???
メール送信プログラムを誰でも誰宛にも使えるように
してあるのだが、まずいか?
0116nobodyさん
垢版 |
03/01/29 22:58ID:???
PHP版探検君を誰でも使えるように
してあるのだが、まずいか?
0117nobodyさん
垢版 |
03/02/25 20:10ID:???
この板にJAPUたんもういないのかな。
0120山崎渉
垢版 |
03/04/20 06:12ID:???
   ∧_∧
  (  ^^ )< ぬるぽ(^^)
0121山崎渉
垢版 |
03/05/22 02:14ID:???
━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━―
0122山崎渉
垢版 |
03/05/28 17:14ID:???
     ∧_∧
ピュ.ー (  ^^ ) <これからも僕を応援して下さいね(^^)。
  =〔~∪ ̄ ̄〕
  = ◎――◎                      山崎渉
0123100 ◆at3WtOaT8I
垢版 |
03/06/25 18:32ID:???
>>116
禿同

話変わるけど、携帯ゲーム機"プレイステーションポータブル(PSP)

 このPSPは、新規格UMD(ユニバーサルメディアディスク)というディスクを利用しており、そのサイズは直径6cmととても小さい(CDの半分程度)。 容量は1.8GBとなっている。
画面は4.5インチのTFT液晶で、480px x 272px(16:9)。MPEG4の再生やポリゴンも表示可能。外部端子として、USB2.0とメモリースティックコネクタが用意されているという。

この際、スク・エニもGBAからPSPに乗り換えたらどうでしょう。スク・エニの場合、PSPの方が実力を出しやすいような気がするんですが。
任天堂が携帯ゲーム機で圧倒的なシェアをもってるなら、スク・エニがそれを崩してみるのもおもしろいですし。かつて、PS人気の引き金となったFF7のように。

突然こんな事言い出してごめんなさい・・・
0124山崎 渉
垢版 |
03/07/15 11:20ID:???

 __∧_∧_
 |(  ^^ )| <寝るぽ(^^)
 |\⌒⌒⌒\
 \ |⌒⌒⌒~|         山崎渉
   ~ ̄ ̄ ̄ ̄
0125山崎 渉
垢版 |
03/08/02 02:32ID:???
   ∧_∧
  (  ^^ )< ぬるぽ(^^)
0126ぼるじょあ ◆ySd1dMH5Gk
垢版 |
03/08/02 05:09ID:???
     ∧_∧  ∧_∧
ピュ.ー (  ・3・) (  ^^ ) <これからも僕たちを応援して下さいね(^^)。
  =〔~∪ ̄ ̄ ̄∪ ̄ ̄〕
  = ◎――――――◎                      山崎渉&ぼるじょあ
0127nobodyさん
垢版 |
03/08/12 13:00ID:qodMea/v
あああ
0128nobodyさん
垢版 |
03/08/12 13:13ID:4SueGnu3
☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆
★☆ 夏休みは GETDVDで 満喫・満喫!   
☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆
☆★ 送料激安!!  送料激安!!  送料激安!!
★☆      http://www.get-dvd.com      
☆★  激安アダルトDVDショップ        
★☆    お買い得!! 1枚500円〜 急げ!   
☆★    インターネット初!「きたぐに割引」  
★☆    北海道・東北の皆様は送料も激安!   
☆★      http://www.get-dvd.com      
★☆        スピード発送!        
☆★      http://www.get-dvd.com      
★☆        商品が豊富!         
☆★      http://www.get-dvd.com      
★☆                       
☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆
0130nobodyさん
垢版 |
03/08/14 21:46ID:1oiwHjhP
0131nobodyさん
垢版 |
03/08/14 21:46ID:1oiwHjhP
あえ
0132nobodyさん
垢版 |
03/08/14 21:46ID:1oiwHjhP
あえr
0133nobodyさん
垢版 |
03/08/14 21:46ID:1oiwHjhP
あえrg
0134nobodyさん
垢版 |
03/08/14 21:46ID:1oiwHjhP
あえrgs
0135nobodyさん
垢版 |
03/08/14 21:47ID:1oiwHjhP
あえrgsx
0136山崎 渉
垢版 |
03/08/15 22:31ID:???
    (⌒V⌒)
   │ ^ ^ │<これからも僕を応援して下さいね(^^)。
  ⊂|    |つ
   (_)(_)                      山崎パン
0137nobodyさん
垢版 |
04/03/23 22:44ID:QuSZZVdw
自サイトのページに以下のように外部サイトのスクリプトを読み込んでアクセスログを取ってます。
<img src="http://www.hoge.com/fuga.php">
しかし、ブラウザのステータスバーの地球マークの左横に
赤い「セキュリティレポート」のマークが出てしまいます。
外部スクリプトの何が原因でこれが出るのでしょうか?
出さない方法を知りたいです。
外部スクリプトで行っているのは、閲覧者のIPアドレス、ユーザーエージェントを取得して、
DBに保存しているだけです。Cookieの取得はやっていません。
0138nobodyさん
垢版 |
2005/08/09(火) 19:39:08ID:7ru0P+Yn
おい、おまいら。
今なら、はてなダイアリーにて、ウザいキーワードをこっそり削除できますよ?
----
naoya 『キーワード登録の際のPOSTの中身に、cnameとoldcnameというのがあって、
 これらが異なっていればカテゴリ移動と判断されて「change category to」扱いになります。
 つまり、もともと削除予定キーワードであっても、oldcmaneをウェブとかにして、
 cnameを削除予定にすれば、 change category to 削除予定キーワードが連続で
 記録されることになります。』 (2005-08-08 13:15:43)
naoya 『ということは逆に、削除予定にしたいけど編集者に通知メールを送りたくない、
 という場合には、oldcname,cnameをともに削除予定にしてしまえば
 (change category扱いにならないので)よいわけです。』 (2005-08-08 13:17:36)
----
0140nobodyさん
垢版 |
2005/10/29(土) 01:57:47ID:???
初歩的なことで申し訳ないですが
isapiフィルタを使って、もしくは何かしらのフィルタをかけて
querystringの特定文字列をreplaceする方法ってどうやりますか?
サニタイジングを一括で出来ればいいなと思ってまして。
またpostの場合も同様の処理は出来ますか?
0141nobodyさん
垢版 |
2005/11/03(木) 00:32:17ID:TOE31wc5
PHPに深刻な脆弱性がある事が発表されました。今まで見つかったPHPの脆弱性の中でも「最悪」の脆弱性です。全てのPHPユーザは今すぐ対処を行う必要があります。
0142nobodyさん
垢版 |
2005/11/04(金) 13:35:35ID:Q76NS+42
PHPに“最悪”のセキュリティ・ホール,全ユーザーは今すぐ対処を
http://itpro.nikkeibp.co.jp/article/NEWS/20051102/223939/

Fedora core3の場合はどうすればいいんだろう。
RPMがどこかで公開されているのだろうか、それとも自分でmakeとやらを
しなければいけないのだろうか。
自鯖ってこういう時に困る。
0143nobodyさん
垢版 |
2005/11/04(金) 13:39:36ID:8vYWqcZu
User-Agentをサニタイズしてないスクリプトが多すぎ
0145nobodyさん
垢版 |
2005/11/05(土) 08:44:47ID:???
$HTTP_COOKIE_VARS = array_map('htmlspecialchars', $HTTP_COOKIE_VARS);
$_SERVER = array_map('htmlspecialchars', $_SERVER);

これでおk?
0146nobodyさん
垢版 |
2005/11/05(土) 08:52:14ID:???
ありゃ、2行目でエラー出た。

User-Agentだけでも大丈夫かなあ。
0147nobodyさん
垢版 |
2005/11/05(土) 09:40:45ID:???
>>146
$_SERVER['PHP_SELF'] はサニタイズ必要
0148nobodyさん
垢版 |
2005/11/05(土) 11:44:15ID:???
>>145
$_SERVER使うなら$_COOKIEの方がいいんじゃない
0149nobodyさん
垢版 |
2005/11/05(土) 11:46:22ID:???
$HTTP_COOKIE_VARS 使うなら $HTTP_SERVER_VARS 使え、と
0150nobodyさん
垢版 |
2005/11/05(土) 17:49:34ID:???
htmlspecialcharsよりむしろコントロールコードのほうがヤバイんだけど・・・
改行、ヌル、タブが送られてきてもそのスクリプトは大丈夫かい?
HTTPヘッダが丸見えになったり、ブラウザが真っ白になったり、データファイルが破壊されたりしないかい?
0151nobodyさん
垢版 |
2005/11/07(月) 12:46:07ID:X4GSH3T+
俺はある共有レンタル鯖を借りてるんだが、

ttp://itpro.nikkeibp.co.jp/article/NEWS/20051102/223939/
上のソース付きで
PHPのセキュリティホールが見つかったのでバージョンを上げてくれって
メールを4日ほど前に送ったんだが、未だに返事が無い・・・
うかつにバージョン上げたら、既に動いているスクリプトに影響があるので
対応が難しいのは判るんだが、セキュリティホールに対して対応するのは鯖屋の
義務じゃないのだろうか?
サーバがダウンするようなスクリプト組めば、鯖屋も対応してくれるかな?
0152nobodyさん
垢版 |
2005/11/07(月) 13:38:08ID:???
WADAXは問答無用でバージョンアップの連絡が来た。
ECとかで不具合起こした会社とかってあるのかな。
こういうことがあると商用の共有サーバはリスキーだね。
0154151
垢版 |
2005/11/09(水) 13:23:07ID:???
PHPのメーリングリストに、本日付で大垣氏よりPHP4.4.0以下のセキュリティホールに
ついてのまとめが投稿されたようです。

ttp://ns1.php.gr.jp/pipermail/php-users/2005-November/027936.html

思ったよりたいした事無いのかな?
register_globals = offなら、問題ないということで。
0155nobodyさん
垢版 |
2006/01/04(水) 23:40:24ID:???
なんて過疎スレなんだ。

PHPがいかにセキュリティ的にダメダメかを物語っているな。'
0156nobodyさん
垢版 |
2006/01/05(木) 16:37:59ID:pttN5xUJ
cookieを自動で[deleted]とかって書き換えるようなソフトってある?
漏れが発行したcookieが結構な確率でdeletedってなってるみたいなんだけど・・・
0157nobodyさん
垢版 |
2006/01/09(月) 02:15:18ID:???
過疎スレだとセキュリティ的にダメな言語??
0158nobodyさん
垢版 |
2006/01/22(日) 15:58:21ID:WlGV7h6d
>>157

1 PHP
2 Perl
3 C
0159nobodyさん
垢版 |
2006/02/14(火) 03:26:25ID:???
色々読み漁ってみたり、人に話し聞いてみたりしたけど、
イマイチ自信が持てないセキュリティー

これを押さえとけってのがあるといいんだがなぁ
0161nobodyさん
垢版 |
2006/03/28(火) 20:10:52ID:fZ61wIgX
はてなAPIを調べていて、気になった事が。
認証時に送るデータのひとつに、PasswordDigest というものがあって、
「Nonce, Created, パスワード(はてなアカウントのパスワード)を文字列連結し
SHA1アルゴリズムでダイジェスト化して生成された文字列を、
Base64エンコードした文字列」という説明があります。
自分のパスワードに色々文字列をくっつけた、ハッシュ (ダイジェスト) 値って事ですよね。

という事は、正しいかチェックするには生パスワードが必要になるわけですよね。
つまり、はてなのサーバ側ではパスワードの管理を、ハッシュ値ではなくて、
元の文字列そのままデータベースに保存している、と。

話にならないセキュリティですね。
WEB2.0だアジャイルだと寝言ポエム唱える前に、基礎的な技術を習得すべきですよ。
0162nobodyさん
垢版 |
2006/03/28(火) 23:09:15ID:???
コピペを得意に語るなよ
0163nobodyさん
垢版 |
2006/04/09(日) 04:27:52ID:???
WEB2.0 = アジャイル = 寝言ポエム
0164nobodyさん
垢版 |
2006/05/05(金) 04:48:24ID:0pIEn1FP
上げるわよ
0165nobodyさん
垢版 |
2006/05/05(金) 21:35:35ID:DVXSQw0s
>>164
お前なんでこんな面白スレ、今まで隠してたんだよ。
>>161には大笑いさせてもらった。さすがwebprog板、香ばしさが一味違う。
0166nobodyさん
垢版 |
2006/05/21(日) 06:36:50ID:???
>>161の件について回ってみたら、パスワードを使い回してる香具師は馬鹿だから何の問題もないとか、
費用対策効果を考えると順当だとか、問題視することかなぁ、とか書いてあるが、
問題なく出来ることをしないのは訳が分からない。
アホか?とか思うんだけど、俺がアホなんでしょうか。
0168nobodyさん
垢版 |
2006/05/23(火) 22:37:52ID:???
Fujitsu MyWeb Products SQL Injection Vulnerabilit
ttp://secunia.com/advisories/20178/
CRITICAL: Moderately critical
SOLUTION: Contact the vendor for updated versions. ttp://www.myweb-jp.com/resq/
0170nobodyさん
垢版 |
2006/08/03(木) 06:41:53ID:HjJyuduF
メール送信プログラムのセキュリティについて。

昨夜、うちのメールフォームから10通連続で変な送信がありました。
遅れないはずの BCC やら CC に宛先を加えているのです。

ヤフってみたら同じようなのが数件出てきました。
CC:buletmann@aol.com
BCC:buletmann@aol.com

ttp://search.yahoo.co.jp/search?p=buletmann@aol.com

これは、スパムの中継にしようとしてるのでしょうか?
0171170
垢版 |
2006/08/03(木) 16:16:35ID:R1Mf9tar
誰か教えて下さい。これは危険なんですか?
CGIのセキュリティホールを突かれてる?

0172nobodyさん
垢版 |
2006/08/03(木) 22:31:38ID:???
>>170
まずメールフォームに使ってるCGIとそのバージョンを書け。
世の中にメールフォームがどれだけあると思ってるんだ。
0173nobodyさん
垢版 |
2006/08/04(金) 15:33:16ID:???
そもそもそれは本当にメールフォームからなのか
0174nobodyさん
垢版 |
2006/08/07(月) 16:33:42ID:yYQHYFxU
サーバ上に置いたデータファイルを不特定の第三者に
閲覧されないようにするためにすべき常套手段ってどんなの?
「オレはこうやってる」というのでも良いので披露して下さい。

1.htaccessでCGI等からしかアクセスできないよう制限をかける。
2.拡張子をcgiにする(必要に応じてパーミッション変更)。
3.上記併用。
4.その他。

ちなみに、1と2だとどっちの方が強固?
0175nobodyさん
垢版 |
2006/08/07(月) 18:19:46ID:???
ドキュメントルートの上の階層に置く
0176nobodyさん
垢版 |
2006/08/07(月) 19:31:48ID:???
ディレクトリのパーミッションを700にするのもあり。
拡張子をcgiにするのは格好悪いからやめたほうがいいんじゃないかな。

多くのHTTPDでは.で始まるファイルはインデックスに表示されないし
標準的なApacheなら.htで始まるファイルは Deny from all なので
.htmydataみたいなファイル名にするのが俺的おすすめ。
でも他人の管理が前提なら必ず.で始まるファイルが作れないと言ってくるので
やめたほうがいいと思うけど。
0177nobodyさん
垢版 |
2006/08/07(月) 20:35:39ID:???
>>175か、別サーバのDBMSに突っ込む

拡張子を.cgiにするのはクズ
0178174
垢版 |
2006/08/08(火) 15:52:09ID:x4/Y+pQ1
レスありがとうございます!
自分の知識の低さを露呈してしまって恥ずかしい限りです。

>>175
うぅむ、確かにそれが一番手っ取り早くて安全かも。

>>176
詳しいアドバイスどうもです!
レン鯖なんかだと無作法な覗き屋さんが居たりすることもあるっぽいので
拡張子をcgiにしとけばcsvやdatなんかよりは多少なりともカモフラージュになるかな、
という理由もあって、おまじないのような感じでcgiにしてる。
でも、やっぱカコ悪いよね・・・。

>.htmydataみたいなファイル名にするのが俺的おすすめ。
こんな発想微塵もなかった!すごい!
Windows環境で直接データファイルを扱うときのことや
レン鯖のことを考えると汎用性は若干落ちるけど、
現状では問題ないので、さっそくマネさせてもらいます。
でも、
>ディレクトリのパーミッションを700にするのもあり。
これが一番簡単な気がする・・・。けど磐石ではない?

>>177
>別サーバのDBMSに突っ込む
これだと、第三者はパスもほぼ推測不能だし最強だなぁ。
でも、セキュリティと手間とを天秤に掛けると個人的には気後れしちまう。
いわゆる一流企業の個人情報管理とかだとこんなの当たり前だったり?
0179nobodyさん
垢版 |
2006/08/08(火) 23:18:27ID:???
>>178
>いわゆる一流企業の個人情報管理とかだとこんなの当たり前だったり?

それ以上。暗号化して格納してたりする。鯖ごと持ってかれても解読不能。
0180nobodyさん
垢版 |
2006/08/09(水) 00:11:30ID:???
拡張子cgiは格好悪くとも実用的で実際に効果がある方法だろ。
保険という意味でも悪くないと思うがな。
phpだと大規模なフレームワークやオープンソースプロジェクトも同じ対策取ってるし。
0181nobodyさん
垢版 |
2006/08/09(水) 17:12:26ID:???
そもそも拡張子cgiがなぜ格好悪いのか理解できないオレガイル。
既存のシステムだけでこと足りて、その利点をうまく流用した評価すべき例だと思うんだが。
無知なクライアントに対してはとりあえず使っとけ、みたいな感じはするけど、
そんなとこから「格好悪い」というイメージが出たのかな。
0182nobodyさん
垢版 |
2006/08/09(水) 22:11:43ID:???
セキュリティを考えた場合は、拡張子がなんであれ、
サーバのドキュメントルートの配下に、
不特定の第三者に、見られて困るような情報を、置くべきではないです。
0183nobodyさん
垢版 |
2006/08/09(水) 22:20:21ID:???
そうは言っても無料スペースはpublic_htmlだけだからなぁ。

上の例は極端ですが、前提条件を明確にせずに言い合いしても
意味ないですよ。セキュリティーは青天井ですから。
0184nobodyさん
垢版 |
2006/08/09(水) 22:46:28ID:???
仕様外の動作が偶々動いているだけだから。

cgiという拡張子で実行ビットが立っていないものは、そのまま
送信するという動作に、突然変えられたらどうする気だ?
0185nobodyさん
垢版 |
2006/08/11(金) 22:16:49ID:???
正攻法とか裏技とか原則とかそういう観念的なことは別にして、
実際のところドキュメントルート下に置いてある拡張子cgiのファイルを
悪意の第三者が見ることは可能なの?
0186nobodyさん
垢版 |
2006/08/11(金) 23:10:30ID:???
>>185
>正攻法とか裏技とか原則とかそういう観念的なことは別にして


そこを別にされるとなんとも答えようが無いが、何も対策してなければ
覗き見自体はいくらでも可能。
0187nobodyさん
垢版 |
2006/08/12(土) 00:37:16ID:???
条件設定していない設問は無意味。
0188nobodyさん
垢版 |
2006/08/12(土) 01:30:13ID:???
あと、安全性の議論で言うところのリスクとハザードみたいな考え方も大事だな。
0189nobodyさん
垢版 |
2006/08/13(日) 01:45:24ID:???
議論のための議論になってるな。
0190nobodyさん
垢版 |
2006/08/13(日) 16:33:52ID:???
素人の見解であることをあらかじめ断っておきます。
間違いがあれば容赦なく訂正してください。

>>185
187の言う通り条件による。拡張子をcgiにする方法は、httpdが
1. cgiの拡張子がついたファイルを常にcgiとして実行しようとすること
2. 1で実行属性のない場合や実行するファイルとして不正な内容だった場合にエラーを返すこと
3. 2のエラー表示にファイルの内容が含まれないこと
という動作をする場合に限り有効。ファイルの存在そのものを隠すためには
4. 2のエラーは404を返す
こと。
0191nobodyさん
垢版 |
2006/08/13(日) 16:42:20ID:???
取りあえず404は違うだろ。
0193nobodyさん
垢版 |
2006/08/14(月) 09:07:30ID:???
>>190
> 不正な内容だった場合にエラーを返すこと
不正な内容であることを確認するためには実行する必要があるが、
その結果エラーになることをhttpdは担保できない。
0194nobodyさん
垢版 |
2007/03/23(金) 17:16:32ID:???
PHPの投稿フォームで<a>タグ <img>タグと ダブルクオートを許可したのですが、
セキュリティは、どんなところに気をつければいいでしょうか?
0195nobodyさん
垢版 |
2007/03/29(木) 19:31:14ID:???
全部NGにして
wiki風の言語を作る
0196nobodyさん
垢版 |
2007/04/25(水) 23:19:16ID:B1ZZgxV3
imgタグで画像ファイルでないものを画像ファイルの拡張子で指定した場合、
IE6馬鹿ブラウザは、HTMLファイルとしてレンダリングしてしまうので、
XSSなどの脆弱性が生じる。
つまり、投稿フォームを閲覧しただけで、何らかのスクリプトが発動可能になる。

<img>タグは、許可しない方がいい。

ダブルクォートは、実体化した方がいい。



0197nobodyさん
垢版 |
2007/04/28(土) 01:19:52ID:2O4EKOL8
*[日記]id:Hamachiya2さんのこと
WEB+DBプレスを見た。

はまちちゃんがデブサキモヲタでショック。
あのサスペンダーはありえないでしょう。

そりゃ「中学出たての未成年女子」だとは
思ってなかったけどさ。これはひどい。
いまどき吊りズボンかよっ。
0198nobodyさん
垢版 |
2007/05/18(金) 17:52:29ID:GL1hkE7j
すいません、何か最近サイトのindex.phpが勝手に書き換え
られるんですけど、これ何なのでしょう? ページの最後に
見覚えのないJavaScriptのタグが埋め込まれています・・・。

<script language="JavaScript">e = '0x00' + '54';str1 = "%EF%B・・・

といった感じのやつです。
一つではなく、複数のサイトで被害にあっているんですが、これ
ってウイルス仕込まれているんでしょうか?
0199nobodyさん
垢版 |
2007/05/18(金) 18:24:00ID:???
そのコードをそのまんまヤフー検索したら、index.php開いて最後にあるやつ消せとか書いてるページがあった
ttp://www.rockettheme.com/forum/index.php?topic=11361.msg56175
0200nobodyさん
垢版 |
2007/05/18(金) 18:33:03ID:GL1hkE7j
スクリプト部分を抜き出してjs(WSH)化し、出力しようとしている文字列を抽出したら

ttp://givecnt.info/ld/ment/

というurlを隠しフレームで表示するコードでした・・・。
0201nobodyさん
垢版 |
2007/07/09(月) 07:25:08ID:L9K9FUBd
セッション管理不備のネットショップが多すぎます><
0202nobodyさん
垢版 |
2007/07/09(月) 07:48:28ID:???
どんな不備かkwsk
0203nobodyさん
垢版 |
2007/09/06(木) 22:00:53ID:OvtHfWTA
fusianasan
0204nobodyさん
垢版 |
2007/09/07(金) 00:08:55ID:???
数字のみの総当たり攻撃からパスワードを守るには…
0000232
というパスを文字列として認証すれば大丈夫ですかね?
0207nobodyさん
垢版 |
2007/09/12(水) 21:12:43ID:???
CSRFやXSSの脆弱性って、腐るほどありますね。
新着レスの表示
レスを投稿する

ニューススポーツなんでも実況