Upgrade to Pro — share decks privately, control downloads, hide ads and more …

PHPサイバーテロの技法 書籍紹介

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for ikuwow ikuwow
June 06, 2015
Programming
0
970

PHPサイバーテロの技法 書籍紹介

社内勉強会で「PHPサイバーテロの技法」を紹介しました
http://ikuwow.website/entry/php-cyberterro/

Avatar for ikuwow

ikuwow

June 06, 2015
Tweet

More Decks by ikuwow

See All by ikuwow
Elasticsearch on EC2からAmazon Elasticsearch Serviceに 移行してだいぶ楽になった話
Avatar for ikuwow ikuwow
0
3.5k
意外と使える! Alibaba Cloud
Avatar for ikuwow ikuwow
0
240
teratailの解析基盤をEFKで作っていろいろ楽しい話
Avatar for ikuwow ikuwow
0
890
UNIXという考え方
Avatar for ikuwow ikuwow
1
2k
技術書紹介 パーフェクトPHP
Avatar for ikuwow ikuwow
0
2.1k
みんなもMiddlemanで技術ブログ作って幸せになろう!
Avatar for ikuwow ikuwow
0
980

Other Decks in Programming

See All in Programming
AIに任せる範囲を安全に広げるためにやっていること
Avatar for Masashi Fukuzawa fukucheee
0
130
DevinとClaude Code、SREの現場で使い倒してみた件
Avatar for karia/Y.Hisamatsu karia
1
1k
maplibre-gl-layers - 地図に移動体たくさん表示したい
Avatar for Kouji Matsui kekyo
PRO
0
260
社内規程RAGの精度を73.3% → 100%に改善した話
Avatar for oharu121 oharu121
13
8k
AI 開発合宿を通して得た学び
Avatar for ニフティ株式会社 niftycorp
PRO
0
100
RubyとGoでゼロから作る証券システム: 高信頼性が求められるシステムのコードの外側にある設計と運用のリアル
Avatar for free_world21 free_world21
0
270
encoding/json/v2のUnmarshalはこう変わった:内部実装で見る設計改善
Avatar for Hiroki Kurasawa kurakura0916
0
410
ふつうのRubyist、ちいさなデバイス、大きな一年 / Ordinary Rubyists, Tiny Devices, Big Year
Avatar for chobishiba chobishiba
1
440
DSPy入門 Pythonで実現する自動プロンプト最適化 〜人手によるプロンプト調整からの卒業〜
Avatar for sea-turt1e seaturt1e
1
710
「やめとこ」がなくなった — 1月にZennを始めて22本書いた AI共創開発のリアル
Avatar for atani atani14
0
380
Claude Codeログ基盤の構築
Avatar for giginet giginet
PRO
7
3.1k
Go 1.26でのsliceのメモリアロケーション最適化 / Go 1.26 リリースパーティ #go126party
Avatar for mazrean mazrean
1
390

Featured

See All Featured
Balancing Empowerment & Direction
Avatar for Lara Hogan lara
5
940
The AI Search Optimization Roadmap by Aleyda Solis
Avatar for Aleyda Solis aleyda
1
5.4k
Unlocking the hidden potential of vector embeddings in international SEO
Avatar for Frank van Dijk frankvandijk
0
200
Imperfection Machines: The Place of Print at Facebook
Avatar for Scott Boms scottboms
269
14k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
Avatar for Vitaly Friedman smashingmag
254
22k
Primal Persuasion: How to Engage the Brain for Learning That Lasts
Avatar for Mike Taylor tmiket
0
290
<Decoding/> the Language of Devs - We Love SEO 2024
Avatar for Nikki Halliwell nikkihalliwell
1
150
Avoiding the “Bad Training, Faster” Trap in the Age of AI
Avatar for Mike Taylor tmiket
0
100
CSS Pre-Processors: Stylus, Less & Sass
Avatar for Bermon Painter bermonpainter
360
30k
Organizational Design Perspectives: An Ontology of Organizational Design Elements
Avatar for Dr. Kim W Petersen kimpetersen
PRO
1
640
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
Avatar for Christian Goodrich cargoodrich
3
120
How to Build an AI Search Optimization Roadmap - Criteria and Steps to Take #SEOIRL
Avatar for Aleyda Solis aleyda
1
2k

Transcript

  1. ॻ੶঺հɿ PHPαΠόʔςϩͷٕ๏ ʙ߈ܸͱ๷ޚͷ࣮ࡍʙ 2015/06/03(Fri) Ι͘Λʢikuwowʣ

  2. ࣗݾ঺հ • Ι͘Λʢikuwowʣ • झຯ αʔόʔߏஙɾ؅ ཧࣗಈԽ • ϚΠϒʔϜ ࿥ըαʔόʔ

    • ޷͖ͳ৭ ࢵ @ikuwow 

  3. ֓ཁ • ஶऀ GIJOE • AmazonϨϏϡʔ਺18ɺ
 ධՁ4.6 • 2005೥ॳ൛ୈ1࡮ൃߦ
 2011೥ॳ൛ୈ10࡮ൃߦ

     ʁʂ

  4. ຊͷ໨࣍ 1.WebΞϓϦέʔγϣϯͷηΩϡϦςΟͱ͸ 2.WebΞϓϦέʔγϣϯΛ࣮ࡍʹ߈ܸͯ͠ΈΑ͏ 3.߈ܸํ๏14छྨ૯͟Β͑ 4.WebΞϓϦέʔγϣϯηΩϡϦςΟͷཧ࿦ 5.HTTPηογϣϯ͔Β߈ܸͷຊ࣭Λ஌Δ 6.੬ऑੑεΩϟφʔΛར༻͢Δ 7.νϟʔτࣜ:੬ऑੑͷݟ͚ͭํ  ͍ΘΏΔʮWebηΩϡϦςΟͷຊʯ

    ex. XSSɺCSRFɺSQLΠϯδΣΫγϣϯɺ…

  5. ͜ͷຊͷಛ௃ΛҰݴͰݴ͏ͱ 

  6. ߈ܸํ๏ʹ஫໨ͨ͠ WebηΩϡϦςΟͷ ϨϑΝϨϯε

  7. ʮຊॻͰ͸ɺ߈ܸํ๏Λղઆ͠ɺ ͦΕʹର͢Δద੾ͳ๷ޚํ๏Λ ໌͍ࣔͯ͠·͢ɻ ։ൃऀ͕҆શͰ߈ܸʹڧ͍ ΞϓϦέʔγϣϯΛ࡞Δ্Ͱɺ ඞཁͳ஌ࣝΛ͜ͷҰ࡭ʹڽॖɻʯ ʢຊͷଳΑΓʣ

  8. ͜ͷຊͷελϯε • ʮηΩϡϦςΟ͸߈ܸํ๏͋Γ͖ʯ • ʮຊॻ࠷େͷςʔϚ͸໢ཏੑͰ͢ʯ
 ʮશ14छͷ߈ܸํ๏ʯ • ʮWebʹ͓͚ΔηΩϡϦςΟରࡦ͸Webඪ४Խ΍ MVCΑΓ΋͸Δ͔ʹ༏ઌ౓͕ߴ͘ɺݴޠͷجૅจ ๏ͷ͙࣍͢ʹ֮͑Δ΋ͷʯ

     ʢʮ͸͡ΊʹʯΑΓʣ

  9. ಙؙຊͱൺֱ ɾ੬ऑੑʹ஫໨
 ɾಡΈ෺త ɾ߈ܸํ๏ʹ஫໨
 ɾϨϑΝϨϯεత

  10. ͦͷଞΑ͍ͱ͜Ζ • ઌʹαϯϓϧίʔυΛग़ͯ͠߈ܸΛࢼΈΔ • ʮରࡦࣦഊྫʯʮෳ਺ͷରࡦྫʯʮϝϦο τɾσϝϦοτʯͳͲ಺༰͕ॆ࣮͍ͯ͠Δ  <?php // ੬ऑੑ

    readfile(‘/home/username/mydata/‘.$_GET[‘file_name’]); // ରࡦࣦഊྫ readfile(‘/home/user/name/mydata/’.str_replace(‘../‘,’’, $_GET[‘file_name’])); // ରࡦ੒ޭྫ readfile(‘/home/user/name/mydata/’.basename($_GET[‘file_name’]));

  11. ಡΜͰಘΒΕͨҰͭͷڭ܇ 

  12. ϢʔβʔΛ ৴༻͠ͳ͍

  13. ϢʔβʔΛ৴༻͠ͳ͍ • ΞϓϦέʔγϣϯʹͲΜͳϦΫΤετ͕ඈΜͰ͘Δ͔Θ͔Βͳ͍ • Ϣʔβʔ͔Βͷೖྗ͸ৗʹ࠷ѱͷঢ়گΛߟ͑Δ • Ϣʔβʔ͔Βͷೖྗ͸ಟΛ͍࣋ͬͯΔͱߟ͑Δ • => αχλΠζʢhtmlspecialchars()ɺ໌ࣔతͳΩϟετɺಈతͳ

    ϑΝΠϧಡΈࠐΈɾ࣮ߦΛڐ͞ͳ͍ɺ… etc. Ϣʔβʔ͔ΒͷೖྗΛ௚઀γεςϜʹ౉͞ͳ͍͜ͱ͕ॏཁ

  14. ͜ͷຊΛಡΉͱ͖ͷ஫ҙ఺

  15. ݹ͍

  16. ݹ͍ • 2005೥12݄ॳ൛ୈҰ࡮ൃߦ • PHP͕ݹ͍ʢPHP4ʙ5.1ʣ
 ɾmysql_query(), register_globals, safe_mode, … etc.

    • ίʔυ΍ؔ਺ʹ͍ͭͯͷ෦෼͸ඞͣ
 PHPͷυΩϡϝϯτΛࢀর͠ͳ͕ΒಡΉ͜ͱ

  17. ಡΉͱ͍͍ਓ • MVCϑϨʔϜϫʔΫʹ؁΍͔͞Εͨ
 ΏͱΓWebʢPHPʣΤϯδχΞ  42-ΠϯδΣΫγϣϯͳΜͯ ϑϨʔϜϫʔΫ͕ରࡦͯ͘͠ΕΔͰ͠ΐʁ )551ϔομͱ͔ ݟͯ΋Α͘Θ͔Γ·ͤΜ

  18. ͳΜͷ໾ʹཱ͔ͭ • ʮ͜ΕηΩϡϦςΟʹ݀͋Δɾɾɾʁʯͱࢥͬ ͨ࣌ʹऔΓग़ͯ֬͠ೝ • ߈ܸऀͷ໨ઢͰηΩϡϦςΟΛ֬ೝͰ͖Δ • ຊ౰ʹରࡦ͞Ε͍ͯΔ͔ෆ҆ʹͳͬͯϑϨʔ ϜϫʔΫͷιʔεΛಡΈͨ͘ͳΔ 

  19. ·ͱΊ • ʮPHPαΠόʔςϩͷٕ๏ʯ͸߈ܸํ๏ʹ஫໨ͨ͠Web ηΩϡϦςΟͷϨϑΝϨϯεɻͨ·ʹಡΈͨ͘ͳΔຊɻ • ֶ΂ΔηΩϡϦςΟͷݪଇ
 ʮϢʔβʔΛ৴༻͠ͳ͍ʯ • ٕज़ॻͱͯ͠͸͔ͳΓݹ͍ຊͳͷͰ
 10೥ͱ͍͏࣌୅ͷҧ͍ʹ஫ҙ

    ͝ਗ਼ௌ͋Γ͕ͱ͏͍͟͝·ͨ͠

  20. ҎԼิॿεϥΠυ 

  21. ʮશ14छͷ߈ܸํ๏ʯ 1.XSSʢΫϩεαΠτεΫϦϓςΟϯάʣ 2.ίϯςϯπ಺ʹJavaScriptຒΊࠐΈ 3.SQLΠϯδΣΫγϣϯ 4.CSRFʢΫϩεαΠτϦΫΤετϑΥʔδΣϦʣ 5.ψϧόΠτ߈ܸ 6.σΟϨΫτϦτϥόʔαϧ 7.؀ڥม਺Ԛછ߈ܸ 8.HTTPϨεϙϯε෼ׂ߈ܸ 9.ΠϯΫϧʔυ߈ܸ

    10.evalར༻߈ܸ 11.֎෦ίϚϯυ࣮ߦ߈ܸ 12.ϑΝΠϧΞοϓϩʔυ߈ܸ 13.ηογϣϯϋΠδϟοΫ 14.εύϜϝʔϧ౿Έ୆߈ܸ શ14छͱஅݴͯ͠Δ => ໢ཏੑ 

  22. ࡞ऀ • GIJOEʢຊ໊ ޙ౻ๆཅʣ • ౦ژग़਎ɻେֶ࣌୅͸ੜ෺ֶΛઐ߈͠…ʢུʣ • ߴ໦ߒޫࢯͱGIJOEࢯͷ࿦૪ʹ͍ͭͯɺGIJOEࢯ ʹ൓࿦ͯ͠ΈΔ
 http://blogs.yahoo.co.jp/quitthemusic/

    24047659.html