赤坂さんに指摘されたもう1つの「危険な脆弱性」とは? 隠された脆弱性を見つけ出せ!
『 PHPのソースコードをチェックして脆弱性を検出するウェブサービス。単純なデータフロー解析しか指定無い様子ですが、単純なミスを防ぐことには使えるようです。 』
『 こういうことをAutoでやってくれる、PHPUnit3を書くと、すげぇことになるかも。 』
『 SQLインジェクションの方法についての例が書かれており、SQLインジェクション対策に使えます。 』
昨今、Web サーバー上のコンテンツが不正に改ざんされ、改ざんされたコンテンツを閲覧した利用者がマルウェア感染等の二次的な被害を受ける事案が継続的に発生しています。この攻撃は、Web サーバーを狙ったものではなく、Web サーバー上で動作する、お客様が開発または導入した Web アプリケーションを狙って行われており、"SQL インジェクション攻撃"と呼ばれています。SQL ...
WebサイトへのSQLインジェクション攻撃によく用いられる文字列を検出し、WebサイトのSQLインジェクションの脆弱性を検出する無償ツール「iLogScanner」を公開した。 [TechTargetジャパン] 情報処理推進機構(IPA)は4月18日、WebサイトのSQLインジェクションの脆弱性を検出する無償のツール「iLogScanner」を公開した。 iLogScannerは、ユーザーが用意したWebサーバのアクセスログの中から...
独立行政法人 情報処理推進機構(略称:IPA、理事長:西垣 浩司)は、ウェブサイトの脆弱性対策を促進するため、ウェブサーバのアクセスログの中からウェブサイトへの攻撃を解析し、ウェブサイトのSQLインジェクションの脆弱性を検出するツールを2008年4月18日(金)より公開しました。 (URL: http://www.ipa.go.jp/security/vuln/iLogScanner/ ) 概要 近年、ウェブサイトを狙ったSQLインジ...
ここまでの連載で、PHPがデザイナにとっても決して難しいものではなく、むしろ便利に使えるものであることを紹介した。少しでも恐怖感やアレルギー感がなくなっていただけると幸いである。 ただし、あまり身近に感じすぎてしまうのも逆に危険が伴う。 スクリプトは、ご存じの通り何でも作ることができてしまうため、Webサーバーに大きな負担をかけたり、場合によっ...
そこで、僭越ながら、「サニタイズ言うなキャンペーン」について、 私なりの解釈を書いてみようと思う。 もっともこれが正解であるという保証はないのだが、 間違っていたらどなたかツッコミいただけることを期待しています(_o_) そもそも何のせいで「エスケープ」しなければならないのか たとえば住所氏名を登録させるWebアプリケーションは珍しいものではないと思う。 ...
