テキストエリアのHTMLタグは<a href="URL可能文字">sample</a>と<em>sample</em>の形式だけ許可する場合のエスケープ […]
スクリプト挿入攻撃への対策メモ。
パーセントエンコーディング URLクエリはパーセントエンコードされる。 ※ここではURLの?以降のクエリだけ考える。 http://example.com/index.php?key=<a> アドレス欄に上記 […]
sha1(ハッシュ)関数はキーのUS Secure Hash Algorithm 1ハッシュを作成。入力(キー)が同じならハッシュも同じになる。
URLで使用すべきでない文字を%xx(xxは16進数)を使い符号化することをパーセントエンコーディングという。パーセントエンコーディングはURLエンコードとも言う。ただフォームデータをポストする際の符号化(applica […]
ディレクトリトラバーサルとは文字列../やヌルバイトをクエリ文字に混ぜて想定していないファイルを開くディレクトリ遡り攻撃。
CSRF(Cross Site Request Forgeries) のメモ。
XSS(Cross Site Scripting:クロス・サイト・スクリプティング)は攻撃対象とは別の第三者のサイト(やメール)のリクエストに悪意あるスクリプトを混入させる攻撃です。
ヌルバイトをPHPは8進数表記では\0、16進数表記では\x00と表す(パーセントエンコードは%00)。
WordPressのカスタマイズもPHPを使う他のプログラムと同様にセキュリティ面に注意する必要がある。WordPressのサニタイズについてまとめる。
外部コマンド実行攻撃とはプログラム実行系関数(system,exec,passthruなど)の引数として外部リクエストを利用する場合に、不正なコマンドを混ぜて送信され、サーバを不正に操作されることです。
PHPではHTTPレスポンスのボディ部分のみを出力する。ヘッダ部分はWWWサーバが生成する。しかしPHPから明示的にHTTPヘッダ部分の出力を行うことができる。PHPが明示的に出力する代表的なHTTPレスポンスヘッダとし […]
WordPressを2.2.1から2.7へバージョンアップした際の覚書(セキュリティ関係を中心に)
SQLインジェクション(SQL Injection)のメモ。
この記事は書かれてから時間が経っています。 新しく記事 スクリプト挿入攻撃のセキュリティメモ : PHP クライアント・サイド・スクリプト埋め込み攻撃(Script Insersion)の覚書。
PHPのセキュリティメモ。
セッションをPHPで利用する際の覚書。
セキュリティーソフト※1によりimgタグのwidth属性,height属性に特定サイズが指定されると,ブラウザ表示の際にセキュリティーソフトによりimgタグが削除され,画像が表示されないことがあるようです。 特定のサイズ […]
パソコンの利用でセキュリティ対策メモです。本記事は最低限必要なセキュリティ対策にの覚書です※1。 本記事は2006年6月15日に書いています。情報が古い可能性があります。 ※1 : 本記事はセキュリティーソフトとしてシマ […]