注意喚起の記事 「注意喚起」では、ラックが把握した脆弱性やランサムウェアなどサイバー攻撃に関する情報をいち早く発信します。 解説するのは、サイバー救急センターやセキュリティ監視センター(JSOC)、セキュリティ診断チームなどの専門家です。
たにぐちまことさんの書かれた『よくわかるPHPの教科書(以下、「よくわかる」)』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。 4.2 入力処理とセキュリティ 「よくわかる」のサンプルや解説では、入力値検証はほとんどしていません。しかし、入力値検証をしていないからといって即脆弱かというとそうではありません。徳丸本でも強調しているように、入力値検証はアプリケーション要件(仕様)に沿っていることを確認するもので、セキュリティ対策が目的ではないからです。 「よくわかる」の中で、私が見た範囲で唯一の入力値検証は、郵便番号のチェックをするものです。以下に引用します(「よくわ
こちらでは主要なOSやアプリケーションに対するセキュリティ脆弱性情報や、セキュリティに関する重要な最新情報をお知らせします。 平成18年9月6日 警察庁PHPを使用したウェブアプリケーションを標的とした攻撃について インターネット上で無差別的に行われているウェブサイトに対するアクセスの中に、プログラム言語PHP(Hypertext Preprocessor)により作成されたウェブアプリケーションを標的とした攻撃が含まれ、当該アプリケーションに脆弱性が存在する場合、以下の結果をもたらす可能性があることを認知しました。 ウェブページを改ざんされる。 不正プログラムを蔵置され、他のコンピュータへの攻撃の踏み台に利用される。 詳細は、下記のリンクを参照してください。 PHPを使用したウェブアプリケーションを標的とした攻撃について(リンク先はPDFファイルです。) これらの攻撃は、インターネットに
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
