Erlang 製 Web サーバ Yaws に Digest 認証を追加してみた

`Erlang <http://www.erlang.org/>`_ で作りたい Web アプリがあって、認証について色々仕様を詰めてた(「特権ユーザにのみ特定の操作を許可したいな」、「アカウント情報...

read more

不適切な脆弱性情報ハンドリングが生んだ WordPress プラグイン cforms II のゼロデイ脆弱性

2012/02/15、 JVN から `JVN#35256978: cforms II におけるクロスサイトスクリプティングの脆弱性 <http://jvn.jp/jp/JVN35256978/>`_...

read more

勝手に訂正: 「PHP における SQL インジェクション攻撃を行われる脆弱性 (JVNDB-2012-001388)」

.. NOTE:: 2012/02/16 11:36 2012/02/15 05:01 に公開した最初の版に比べ、以下の変更を加えています。 ...

read more

Mozilla CTF 2012 に参戦しました

2012/01/25 (日本時間では 17 時からの 24 時間) に開催された `Mozilla CTF <https://wiki.mozilla.org/Security/Events/CTF>...

read more

次のプロジェクトで PHP 5.4 の採用を提案するための 3 つのポイント (PHP 5.4 Advent Calendar 2011 19 日目)

PHP 5.4 Advent Calendar 2011 19 日目です。 前回は `@cocoitiban さん <https://twitter.com/#!/cocoitiban/>`_ でした...

read more

Symfony2 の力を借りたセキュア開発 (Symfony Advent Calender 2011 JP - 18日目)

Symfony Advent Calender 2011 JP 18日目です。前回は `@hidenorigoto <https://twitter.com/#!/hidenorigoto>`_ さん...

read more

DTrace で PHP スクリプトの動作を追跡する (PHP 5.4 Advent Calendar 2011 12 日目)

PHP 5.4 Advent Calendar 2011 12 日目です。 `前回は Paul さん <http://paul-yamamoto.tumblr.com/post/14059100842...

read more

【情報求ム】au のガラケーで cookie が使えなくなる場合がある?

結論から言うと、 au 端末の EZ ブラウザで cookie が使えなくなって困ったりした経験をお持ちの方とか、そのあたりの情報を知っている方とかいらっしゃいませんか? という話です。 「あ、...

read more

au の F001 に存在した EZ 番号詐称の脆弱性について

このエントリでは、海老原が 11/11 に発見した、「F001 の PC サイトビューアを利用して EZ 番号の作業がおこなえる」という脆弱性について説明します。 この脆弱性を利用されると、たと...

read more

攻撃者がセッション ID を入手可能な状態で CSRF 攻撃を仕掛ける可能性について検討した

仕事で「フレームワークで使ってる CSRF 対策用トークンがセッション ID を基にいろいろ組み合わせた文字列のハッシュなんだけれども、なんでセッション ID 直接使わないんだよう」的な話が出たので、...

read more

ここしばらくちょくちょく co3k.org 落ちたりするかも

ちょっと部屋が凄いことになっているのでこの連休をきっかけに掃除しはじめてます。たぶん連休中には終わりきらないと思うので 1 週間くらい隙を見てちょいちょい片付けたりとかします。 で、その影響で自...

read more

たとえ善意の脆弱性の検証であったとしても法は遵守すべきでは

僕は今年に入ってからたまたま発見したセキュリティ脆弱性を積極的に報告するようにしはじめました。当然、検証の際には法を遵守するよう心がけていますし、他にも、検証の過程で誤って被害を与えてしまうことがない...

read more

Try to use Essence Pattern in Doctrine 2 Entity (Doctrine 2 のエンティティで Essence Pattern を使ってみた)

What's Essence Pattern? (Essence Pattern とは) ============================================== .. c...

read more

『symfony 1.4によるWebアプリケーション開発』(#sf14book)出たよー(書いたよー)という話

本日、秀和システム様より『symfony 1.4によるWebアプリケーション開発』が発売されました! .. image:: http://co3k.org/cache/img/png/w240_...

read more

VersionControl_Git 0.4.4 をリリースしました

お待たせしました、 VersionControl_Git の新しい安定版をリリースしました。 このバージョンでは、短い形式のコマンドオプションの作成について変更を加えています。 VersionC...

read more

CakePHP の PHP コード実行の脆弱性を使って CakePHP を焦がす

2010/11/13 に出たらしい http://bakery.cakephp.org/articles/markstory/2010/11/13/cakephp_1_3_6_and_1_2_9_re...

read more

Phing 2.4.3 では PEAR::VersionControl_Git を使った新しい Git 関連タスクが使えるようになっています

※この記事は、気まぐれではじめた PEAR::VersionControl_Git blog (http://pear-version-control-git.tumblr.com/) の Phing...

read more

XHProf 導入メモ

ここ数ヶ月、 OpenPNE 3 を使ったサービスのパフォーマンスチューニングにかなりの時間を割いていました。 各所でも言っているとおり、 OpenPNE 3 は OpenPNE 2 に比べて ...

read more

secure.softbank.ne.jp について SoftBank に質問したら残念な結果になったの巻

割と個人的には速報なので簡単にまとめます。 高木浩光さんの http://twitter.com/HiromitsuTakagi/status/16057716034 のアドバイスを受けて、 s...

read more

OpenPNE 3.5.3 での「かんたんログイン」の端末固有IDからの(部分的)脱却で困った点

(個人ブログなので「携帯電話個体識別番号」ではなく「端末固有 ID」と呼ぶよ) ということで、 OpenPNE 3.5.3 でおこなった「かんたんログイン」の変更について h...

read more