ログイン
リンク集
印刷
友達に紹介
RSS feed
最終更新日 2012-5-20 10:19:50
XUGJで話題になっていたこれ。http://www.viruslist.com/en/weblog?discuss=208187897&return=1Protectorで何か出来ないか考えてみましたが、やはり防犯ブザーのようなものが良いのではないかと結論づけました。XOOPS_ROOT_PATHのmtimeと、index.phpのmtime、inodeを保存しておいて、それに変更があればサイト管理者にメールで通知する。まさに防犯ブザーです。最初はファイルのmd5でも取ろうかと思ったのですが、原理的に毎回チェックすることの方がはるかに重要なので、負荷のかからないinodeをあえて利用しています。Windowsだとinodeは意味を持ちませんが、FTPでサイトを更新するなら、そのサーバは圧倒的に*nixが多いだろうという判断です。FTPアカウントが盗まれている状態で、FTPで書き換え可能なファイルによって防御する、という時点でナンセンスな手法とも言えますが、こういう「防犯ブザー」であれば、ブザーのタイミングさえ間に合えば、サイト管理者が気付くことができるので、ワームの協力サイトとして運用し続けることだけは避けられるかもしれない、ということです。この機能、Protector-3.50に実装しています。サイトをFTPでメンテナンスする度に通知メール ...
Anti-SQL Injection機能の副作用報告もほとんど聞かなくなってきたので、最新版Protectorに3.4という安定版番号をつけました。このバージョンから、"Xoops Protector" ではなく "Protector" という名前にしています ...
このサイトは原則的にユーザ登録しないと投稿できないようにしてあるのですが、最近は手作業でユーザ登録した上で、一見SPAMとは思えないような投稿をしてくるようです。(例えば、「新しいバージョンは無いか」とか ...
昨夜(4/24)、四谷のニューオータニで、gigamaster(ルチアーノ)さんに会ってきました。会ってみてビックリ。本物のイケメンでした。自称「日本一格好良いXOOPSer」なお方も同席してましたが、比較するのが失礼かな ...
サブプライムローンの破綻により、PEAK XOOPSのモジュールを無償で配布できなくなりました。各モジュールのダウンロードリンクをクリックすると、カートに登録されますので、そのままチェックアウトしてください。通 ...
piCal-0.91h にXSSが見つかりました。以下のいずれかの対策をとることをお奨めします。(1) 最新版(0.92以上)にアップデートする(特にカスタマイズ等していない場合)(2) 最新版(0.92以上)からindex.phpのみ抜き出し ...
(3)で完成したと思っていたDBLayer Trapping anti-SQL-Injectionのロジックですが、これを実際にXOOPS 2.0.16a-JPでテスト運用してみたら、一般設定の更新でSQL Injectionの誤検出が発生しました。(具体的には、pic ...
あっという間に1週間経ってしまいましたが、「リクエスト層とDB層の両方を比較して、SQL Injectionを防ぐ方法」の続きです。PHP汎用の話題であれば、何らかのフレームワークにこれを組み込む、という話になるのでし ...
世界的にXOOPSの本家とは xoops.org ってことになり、本流は2.3系列って事になっているようです。 そこの最新版である xoops-2.3.2b というアーカイブをダウンロードしてみてあきれました。 htdocs/ の中に、xoops_ ...
XOOPSに限らず、いろいろなPHPアプリケーションで、今でもちょくちょくSQL Injection脆弱性が出てきます。それもケアレスミスです。 もちろん、ケアレスミスは人力では根絶不可能であり、SQLを文字列として生成する ...
投稿された内容の著作権はコメントの投稿者に帰属します。
execution time : 5.204 sec
Powered by