Hatena::ブログ(Diary)

やねうらお−ノーゲーム・ノーライフ このページをアンテナに追加 RSSフィード

tokutoku777 tokutoku777 ランキング
電王戦出場記念! 書籍化されたで! 監修したで!(`ω´) 絶版なってしもた Kindle版で復活!! 記事書いたで!
解析魔法少女美咲ちゃん マジカル・オープン!

YaneuLabs / やねうら王公式 / やねうらおにメール / twitter / プロフィール

 | 

2005-11-20 危険なwebプログラミング

[] 危険なwebプログラミング  危険なwebプログラミングを含むブックマーク  危険なwebプログラミングのブックマークコメント

いまや、デザイナーですら、phpを使う時代になった。猫も杓子もphpである。以前は、「htmlが書けなきゃwebデザイナーじゃないよね」と言われていたのが、次第に「cssも書けなきゃ」「JavaScriptぐらい読めなきゃ」「phpを使えなきゃ」と、敷居があがってきた。webデザイナーの人たちも大変である。


PHPサイバーテロの技法―攻撃と防御の実際 phpは、確かに手軽に使える言語であり、いままでプログラミングに携わったことのない人であっても少し勉強すれば簡単なプログラムが書けてしまう。まして、C++Javaで鍛えあげられたプログラマなら見た瞬間使えると言っても過言ではない。


しかし、セキュリティを確保することはそう簡単な問題ではない。このたび、ソシム株式会社から発売になった「PHP サイバーテロの技法 攻撃と防御の実際」(asin:4883374718)だが、この本は素晴らしい。現状知られているメジャーな攻撃方法14種類について詳説してある。(これらに対策してあれば、まずは一人前だ)


SQL injection

XSS(クロスサイトスクリプティング)

Script Insertion

CSRF(クロスサイトリクエスト・フォージェリー)

・ヌルバイト攻撃

・Directory Traversal

変数汚染攻撃

HTTPレスポンス分割攻撃

・インクルード攻撃

・eval利用攻撃

・外部コマンド実行攻撃

ファイルアップロード攻撃

セッションハイジャック

スパムメール踏み台攻撃


これら14種類について、知らない用語があったphpプログラマは、いますぐ購入(予約)して、自分のいままで書いてきたプログラムをチェックしたほうがヨロシイ!(`ω´)


ちなみに、この本の冒頭で「(出版するに際して)お世話になったソシム社の片柳氏」という文があるが、この片柳氏は確か常務取締役で、私は以前、一度お会いしたことがある。ソシム株式会社は以前は、医療関係の出版をメインにやっていた会社だが、最近、コンピュータ関係の書籍も充実してきた。今後に、期待できる出版社だと思う。

yaneuraoyaneurao 2005/11/20 10:13 補足:この本は現在、アマゾンで予約受付中。東京・大阪の大手書店には今日あたりに並んでいるはず。買うしか!(`ω´)

ttsmttsm 2005/11/20 14:12 PerlベースのWebアプリでも言語違うだけですし、応用がききそうですね。

fkmfkm 2005/11/20 15:04 全部知らない用語orz

nazodanenazodane 2005/11/20 16:03 昔(っていっても去年か今年だか)、VIPの対中スレで紅客(注:中国ハッカー)のBBSへやまじゅん砲(注:フレーム+JSでformを自動post や リファラ対策されてる所では一行スクリプトでインラインフレームを自動生成&formに自動記入→post。自由に間隔を決められる厄介物。)とかクッキー抜き(.jpgでIEの内容によるtext/html解釈バグ+JSでクッキー抜き別ページ飛ばし。セッションハイジャック)して乗っ取ってやまじゅん砲とかしてるのを見てガクブルしたもんです。(まぁ板の管理人の一人がidとpassが同じとかいうめちゃくちゃな所でしたが。ってかそれ使って全てのスレを消す方も消す方な気がしますが。)
プロファイル爆弾てのもあったけど俺は関与してません(ぉ。
後画像にlogoutやvote等を仕込んだりcssにIE独自拡張のexpression()使ってクッキー抜いたり([shadow ...][/shadow]のバグを使ってた)もしてたなぁ…(紅客77の方で。結局中共の盾(フィルター)に引っかかって結局失敗に終わってたけど)
何ていうかIEは危険というのとwebプログラミングは難しいというのを身を持って知った感じです。
#ファイルアップロード攻撃の回避策が気になるなぁ…

AyanamiAyanami 2005/11/20 20:51 一昔前はスタイルシートなんてねぇ、て感じでしたが、最近は使われまくってますね。
プログラミング言語なんかもこうやって発達してきたんだろうなと思います。
昔からやってる人はともかく今から始める人はすごく大変という。

yaneuraoyaneurao 2005/11/21 08:41 みんな、すまん。11/21日8:39現在、アマゾンはまだ予約はじまっちゃいなかったorz

ステータス「在庫切れ」ではなく「未発売」にして、予約を受付しなきゃ > アマゾン

通りすがり通りすがり 2005/11/21 19:42 >今から始める人はすごく大変
昔のHTMLの属性と拡張の暗記よりは、今のXHTMLとCSSの暗記の方がずっと楽ですよ。
それ以上だと天秤ですが。

claddvdcladdvd 2005/11/21 21:54 現在予約可能です。早速ココから予約しました。
いつも書籍紹介楽しみにしてます。

yaneuraoyaneurao 2005/11/22 00:05 ありがとうございますm(_ _)m

金床金床 2005/11/22 13:52 この本は今まで読んだWebAppSec分野の中でベストだと思います。洋書も含めて。

yaneuraoyaneurao 2005/11/24 17:35 そして、ソシムの片柳さんから、本の紹介のお礼のメールが来ました!(゜Д゜) なんてまめな人なんだ..

ファイファイ 2005/12/15 18:24 大体知ってる攻撃法でしたが気になるので、私もここから購入しました( ̄ー ̄)ノ

yaneuraoyaneurao 2005/12/15 18:30 ありがチョ!(´ー`)

トラックバック - http://d.hatena.ne.jp/yaneurao/20051120
 | 

人気blogランキング tokutoku777
1900 | 01 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2011 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2012 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2013 | 01 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2014 | 01 | 02 | 03 | 04 | 06 | 08 | 10 | 11 | 12 |
2015 | 01 | 02 |


Microsoft MVP
Microsoft MVP Visual C# 2006.07-2011.06