@Blog

若気の至り若気の過ちか？Ｍｒ.ROBOT🤖

2022.09.11

Logging

こんばんは、深夜便で東京に向かってます（嘘です）。

今日は緊急で動画廻してます（記事を書いています）。私が昔書いたコードに大きな脆弱性が合ったので、そのコードの穴だけ塞ぎました。まだ、色々な所に穴があるかもしれないですが・・・。

この脆弱性に関しては知っていたのですが、昔のコードをそのままにしていたのを失念していたのです、それが大きな過ち…。仕事では重大インシデントになりますね😱。

<?php
 function defence_xss($data=""){
    if(is_array($data)){
        foreach ($data as $key => $value) {
            $data[$key] = strip_tags($value);
            $data[$key] = htmlspecialchars($data[$key],ENT_QUOTES);
        }
    }else{
        $data = strip_tags($data);
        $data = htmlspecialchars($data,ENT_QUOTES);
    }
    return $data;
}

今回、塞いだのは初歩の脆弱性です、、、POSTやGETで送られるデータに悪意のあるコードなどを埋め込んでハッキングを行う手法です。またセッションジャックとかそういうのもありますので、気になる方は調べてみてください。

追記して書いときます。昔勤めていた会社でも何度か、この手の手法でハッキングに合いました。脆弱性が解消されているかは分かりません。XSS攻撃は防げても、これではSQLインジェクション攻撃は防げません、昔のコードで動いているとしたら修正箇所は無数にあるので一日では直せないでしょう。

昔勤めていた会社はShopifyへシステムを移行しているようですが、それが良いのかは分かりません、自分だったら物足りなさを感じると思います😌。

タグ

array, as, data, defence, foreach, function, gt, htmlspecialchars, if, is, key, lt, Mr, php, quot, ROBOT, strip, tags, value, xss, インシデント, コード, それ, 今日, 仕事, 動画, 嘘, 失念, 所, 昔, 東京, 深夜便, 私, 穴, 緊急, 脆弱性, 色々, 若気, 記事,

自分はふがいないと思ってる、あなた・・・ry

2016.10.15

Logging

ふがいないとは
「情けないほど意気地がない。まったくだらしがない。」という意味。
ある意味ふがいない自分。
先日、YOUTUBE再生回数、世界一になったピコ太郎さんの動画を見て
世界一はシンプルだなと感じました。すごくシンプルで
笑いというか苦笑にちかいだけど、リズムで穴を埋めてる感がある。
たぶん、誰でも真似出来てもピコ太郎さんにはなれない所が
あの再生回数になったんだろうなと思います。

人生ってわからないですね。
ってつくづく思います。いや、ほんとに。
 

タグ

YOUTUBE再生回数, あなた・ry, ピコ太郎, リズム, 世界一, 人生, 人類進化史, 動画, 意味ふがいない自分, 意気地, 感, 所, 物語, 穴, 笑い, 苦笑, 革命,