white mug on red background

記録

若気の至り若気の過ちか?Mr.ROBOT🤖

こんばんは、深夜便で東京に向かってます(嘘です)。

今日は緊急で動画廻してます(記事を書いています)。私が昔書いたコードに大きな脆弱性が合ったので、そのコードの穴だけ塞ぎました。まだ、色々な所に穴があるかもしれないですが・・・。

この脆弱性に関しては知っていたのですが、昔のコードをそのままにしていたのを失念していたのです、それが大きな過ち…。仕事では重大インシデントになりますね😱。

<?php
 function defence_xss($data=""){
    if(is_array($data)){
        foreach ($data as $key => $value) {
            $data[$key] = strip_tags($value);
            $data[$key] = htmlspecialchars($data[$key],ENT_QUOTES);
        }
    }else{
        $data = strip_tags($data);
        $data = htmlspecialchars($data,ENT_QUOTES);
    }
    return $data;
}

今回、塞いだのは初歩の脆弱性です、、、POSTやGETで送られるデータに悪意のあるコードなどを埋め込んでハッキングを行う手法です。またセッションジャックとかそういうのもありますので、気になる方は調べてみてください。

SQLインジェクション判決、オニギリペイ、これらをつなぐセミナーにかける思いを語る
徳丸浩のウェブセキュリティ講座

追記して書いときます。昔勤めていた会社でも何度か、この手の手法でハッキングに合いました。脆弱性が解消されているかは分かりません。XSS攻撃は防げても、これではSQLインジェクション攻撃は防げません、昔のコードで動いているとしたら修正箇所は無数にあるので一日では直せないでしょう。

昔勤めていた会社はShopifyへシステムを移行しているようですが、それが良いのかは分かりません、自分だったら物足りなさを感じると思います😌。



【DMM FX】口座開設のお申込みはこちら


OFUSEで応援を送る

multi colored folders piled up効率が良いかって?一番効率が良いのは手を動かさないことですよ🙄。 #花形前のページ

オニギリペイ🍙と歩む道。#闇の奥は深いぞ #笑えない話次のページ

関連記事

  1. 記録

    iOS 14 Widgets[ウィジェット]

    iOS 14 Widgetsの最初の感想はいまいちだったんだけ…

  2. 記録

    窪之内英策先生の原原画展in高知2018

    https://twitter.com/zip358com/stat…

  3. 記録

    自分より日本語が上手いDogenさん!

    https://www.youtube.com/watch?v=P…

  4. 記録

    無駄づくりを黙々と楽しんでいる?方。書籍化されたあの人。

    無駄づくりを黙々と楽しんでいる?方、そして書籍化されたあの人。あの人…

  5. 記録

    2021年、大晦日ですね!?、今年は○■△だった年!!

    もう大晦日ですね?、皆さんに、とって今年一年どうだったでしょうか?…

  6. 記録

    映画、騙し絵の牙を観てきました。

    映画、騙し絵の牙を観てきました。率直に感想を書くとするならば好みが分…

2022年9月
 1234
567891011
12131415161718
19202122232425
2627282930  

カテゴリー

PAGE TOP