aタグとemタグを除いてHTMLのエスケープ処理する : PHP

テキストエリアのHTMLタグは<a href="URL可能文字">sample</a>と<em>sample</em>の形式だけ許可する場合のエスケープ […]

スクリプト挿入攻撃のセキュリティメモ : PHP

スクリプト挿入攻撃への対策メモ。

PHPのパーセントエンコーディングとHTMLエスケープ : PHP

パーセントエンコーディング URLクエリはパーセントエンコードされる。 ※ここではURLの?以降のクエリだけ考える。 http://example.com/index.php?key=<a> アドレス欄に上記 […]

sha1関数 : PHP

sha1(ハッシュ)関数はキーのUS Secure Hash Algorithm 1ハッシュを作成。入力(キー)が同じならハッシュも同じになる。

パーセントエンコーディングとURLエンコード

URLで使用すべきでない文字を%xx(xxは16進数)を使い符号化することをパーセントエンコーディングという。パーセントエンコーディングはURLエンコードとも言う。ただフォームデータをポストする際の符号化(applica […]

ディレクトリトラバーサル : PHP

ディレクトリトラバーサルとは文字列../やヌルバイトをクエリ文字に混ぜて想定していないファイルを開くディレクトリ遡り攻撃。

CSRF(Cross Site Request Forgeries) : PHP

CSRF(Cross Site Request Forgeries) のメモ。

クロス・サイト・スクリプティング(XSS)

XSS(Cross Site Scripting:クロス・サイト・スクリプティング)は攻撃対象とは別の第三者のサイト(やメール)のリクエストに悪意あるスクリプトを混入させる攻撃です。

ヌルバイトとセキュリティー : PHP

ヌルバイトをPHPは8進数表記では\0、16進数表記では\x00と表す(パーセントエンコードは%00)。

WordPress サニタイズ : WordPress

WordPressのカスタマイズもPHPを使う他のプログラムと同様にセキュリティ面に注意する必要がある。WordPressのサニタイズについてまとめる。

外部コマンド攻撃 : PHP

外部コマンド実行攻撃とはプログラム実行系関数(system,exec,passthruなど)の引数として外部リクエストを利用する場合に、不正なコマンドを混ぜて送信され、サーバを不正に操作されることです。

HTTPレスポンス分割攻撃 : PHP

PHPではHTTPレスポンスのボディ部分のみを出力する。ヘッダ部分はWWWサーバが生成する。しかしPHPから明示的にHTTPヘッダ部分の出力を行うことができる。PHPが明示的に出力する代表的なHTTPレスポンスヘッダとし […]

WordPress2.7へのアップグレードとセキュリティ対策

WordPressを2.2.1から2.7へバージョンアップした際の覚書(セキュリティ関係を中心に)

SQLインジェクション : PHP

SQLインジェクション(SQL Injection)のメモ。

クライアント・サイド・スクリプト : PHP

この記事は書かれてから時間が経っています。 新しく記事 スクリプト挿入攻撃のセキュリティメモ : PHP クライアント・サイド・スクリプト埋め込み攻撃(Script Insersion)の覚書。

セキュリティ : PHP

PHPのセキュリティメモ。

セッション : PHP

セッションをPHPで利用する際の覚書。

セキュリティソフトの画像 : Others

セキュリティーソフト※1によりimgタグのwidth属性,height属性に特定サイズが指定されると,ブラウザ表示の際にセキュリティーソフトによりimgタグが削除され,画像が表示されないことがあるようです。 特定のサイズ […]

パソコンのセキュリティ

パソコンの利用でセキュリティ対策メモです。本記事は最低限必要なセキュリティ対策にの覚書です※1。 本記事は2006年6月15日に書いています。情報が古い可能性があります。 ※1 : 本記事はセキュリティーソフトとしてシマ […]