トップページ»3.3.セキュリティ»PHPプログラマーに警鐘

3.3.セキュリティ



PHPプログラマーに警鐘

この間(21日あたり)にphpBBを攻撃するワーム「Santy」が騒がれたと思ったら、今度はまた別のワームが問題になりそうな気配。 今度のは特定のプログラムではなくPHPによって特定のコードを書いているプログラム全てが対象となるらしい。

PHPを狙う新たなワームが出現,Webページのプログラム・ミスを突く - ITPro
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20041227/154332/

Santyの事を聞いたときは、「あぁやっぱり目立つソフトは狙われるんだな。 Googleが悪用される事は予想していたけど、こういうのが流行ると他のMTみたいな有名ソフトなんかにも影響有りそうだよな…くわばらくわばら」なんて思っていたが、こうなると有名無名関係なくなってくるわけで。

とはいえ全てのスクリプトが危険というわけではないらしい。 上記ページのリンクにもあるFile Inclusion Flow(リンク先に行くとPHP Security Mistakesというタイトルみたい)を見ると分かるが、今回のワームは

  • ユーザーが入力したデータをそのままincludeやrequireで利用しない
  • 利用する場合は正規な値かどうか十分評価する

ことで回避できるようだ。 とりあえずワームが拡散することを考えると、少なくとも上記コーディングをされている方は一刻も早く対処した方が良いだろう。

幸い私は動的にインクルードとかするようなプログラムをPHPで書いたことはなかった(と思う)ので良かったが、とりあえず上記File Inclusion Flow(PHP Security Mistakes)の4ページに書かれていることは再度チェックし直そうかと考えている。





投稿日 : 2004年12月27日

この記事に関する言及

このエントリーのトラックバックURL:
http://akionweb.com/mt-tb.cgi/115

コメント

このページに対する感想、意見をお寄せ下さい。




保存しますか?

(書式を変更するような一部のHTMLタグを使うことができます)

おことわり

当サイトに掲載している全ての情報は、全て当サイト管理者が個人的、実験的に試した事、又は独自に調査したものです。 従ってその情報に誤りがある可能性も多分にあります。 当サイトの情報をそのまま鵜呑みにされませんようお願い申し上げます。 また当サイトの情報を元に作業されたりする場合はそれをご理解頂いた上で、あくまで自己責任の元で行ってください。

トップページ»3.3.セキュリティ»PHPプログラマーに警鐘