シリコンバレー在住エンジニアの、Perl、PHP、AJAX、Drupal、Java の小枝集です。( 7,833,018 since 2005.02.20 )
ウェブサイト構築時のセキュリティのポイント
IPA(独立行政法人情報処理推進機構)の「安全なウェブサイトの作り方」というドキュメントは、なかなかまとまっていて、良い。すべてのウェブアプリ開発者は目を通しておくべきだ。ここではこのドキュメントから注意点をピックアップしてまとめてみた。
IPA(独立行政法人情報処理推進機構)の「安全なウェブサイトの作り方」というドキュメントは、なかなかまとまっていて、良い。すべてのウェブアプリ開発者は目を通しておくべきだ。ここではこのドキュメントから注意点をピックアップしてまとめてみた。
- SQL インジェクション
- OS コマンド・インジェクション
- パス名パラメータの未チェック/ディレクトリ・トラバーサル
- セッション・ハイジャック
- クロスサイト・スクリプティング
- クロスサイト・リクエスト・フォージェリ (CSRF)
- HTTP ヘッダ・インジェクション
- メールの第三者中継
- SQL インジェクション
- OS コマンド・インジェクション
- パス名パラメータの未チェック/ディレクトリ・トラバーサル
- セッション・ハイジャック
- クロスサイト・スクリプティング
- クロスサイト・リクエスト・フォージェリ (CSRF)
- HTTP ヘッダ・インジェクション
- メールの第三者中継
Perl の参考書リスト
- Perl での、文字列の扱い
- Perl で、ライブラリのパスを指定する方法
- Perl で、サイトにアクセスして HTML を取得する方法 ※ Web クライアントプログラミングの本は、タイトルには 「Web プログラミング」 とついているものの、中身は LWP の解説本です。
- Perl で、セッション管理をしたい。 ※「WEB+DB PRESS」の創刊号からVol.36(2006年12月)までの6年分の記事を、PDF形式で1枚のCD-ROMにまとめた特別総集編。かなりお買い得な気がします。
- Perl での、文字列の扱い
- Perl で、ライブラリのパスを指定する方法
- Perl で、サイトにアクセスして HTML を取得する方法 ※ Web クライアントプログラミングの本は、タイトルには 「Web プログラミング」 とついているものの、中身は LWP の解説本です。
- Perl で、セッション管理をしたい。 ※「WEB+DB PRESS」の創刊号からVol.36(2006年12月)までの6年分の記事を、PDF形式で1枚のCD-ROMにまとめた特別総集編。かなりお買い得な気がします。
Perl で、JavaScript と連動してサーバにアクセスログを残す方法
ウェブページへのアクセスログを記録する方法は、いろいろな方法があると思う。もっとも簡単なのは Apache などのウェブサーバが自動的に記録するログをチェックすることで、これには何の手間もいらない。しかし、レンタルサーバなどでログが自由に扱えない場合はどうしたらいいのだろう?
そのひとつが、画像としてリンクされている Perl などの CGI を呼び出す方法だ。利用者に知られずこっそりとアクセスログを取るには 1x1 ピクセルの画像をそのウェブページの背景と共に表示してしまえば、そのウェブページのソースをチェックされない限り、ほとんどの場合は気づかれずにすむだろう。
そんなわけで、以下のように JavaScript と対応する Perl スクリプトで、アクセスログを記録する仕組みを作ってみた。ログの形式は Apache に準拠する(たぶん)。
ウェブページへのアクセスログを記録する方法は、いろいろな方法があると思う。もっとも簡単なのは Apache などのウェブサーバが自動的に記録するログをチェックすることで、これには何の手間もいらない。しかし、レンタルサーバなどでログが自由に扱えない場合はどうしたらいいのだろう?
そのひとつが、画像としてリンクされている Perl などの CGI を呼び出す方法だ。利用者に知られずこっそりとアクセスログを取るには 1x1 ピクセルの画像をそのウェブページの背景と共に表示してしまえば、そのウェブページのソースをチェックされない限り、ほとんどの場合は気づかれずにすむだろう。
そんなわけで、以下のように JavaScript と対応する Perl スクリプトで、アクセスログを記録する仕組みを作ってみた。ログの形式は Apache に準拠する(たぶん)。
Perl で、ビット処理する方法
たとえばテキストファイルに「a」などと書かれており、これが4ビットのビット列「1010」を表す場合、4ビットの2進数で表される値は、以下のようになるだろう。
これら 0~f までの文字列を Perl で処理するには以下のようにする(以下のロジックでは、4ビットの場合、ビットの番号は、左から 4、3、2、1 としているので、各人の仕様で調整してください)。
たとえばテキストファイルに「a」などと書かれており、これが4ビットのビット列「1010」を表す場合、4ビットの2進数で表される値は、以下のようになるだろう。
これら 0~f までの文字列を Perl で処理するには以下のようにする(以下のロジックでは、4ビットの場合、ビットの番号は、左から 4、3、2、1 としているので、各人の仕様で調整してください)。
0: 0000
1: 0001
2: 0010
3: 0011
4: 0100
5: 0101
6: 0110
7: 0111
8: 1000
9: 1001
a: 1010
b: 1011
c: 1100
d: 1101
e: 1110
f: 1111#!/usr/bin/perl
our $data = 'a';
our $BIT_LENGTH = 4; # ビットの長さ
$data = hex($data);
$data = pack("C", $data);
my @data = unpack("C", $data);
my $mask = 0x00000001; # マスク
for(my $i = 1; $i <= $BIT_LENGTH; $i++) {
# if(~$data[0] & $mask) { # (注: on: 0 / off: 1 のとき、~$data[0] とする)
if( $data[0] & $mask) {
# ここに(マスクにヒット)ビットが立っているときの処理を書く
print "bit $i: 1\n";
} else {
# ここにビットが立っていないときの処理を書く
print "bit $i: 0\n";
}
$mask = $mask << 1;
}0: 0000
1: 0001
2: 0010
3: 0011
4: 0100
5: 0101
6: 0110
7: 0111
8: 1000
9: 1001
a: 1010
b: 1011
c: 1100
d: 1101
e: 1110
f: 1111#!/usr/bin/perl
our $data = 'a';
our $BIT_LENGTH = 4; # ビットの長さ
$data = hex($data);
$data = pack("C", $data);
my @data = unpack("C", $data);
my $mask = 0x00000001; # マスク
for(my $i = 1; $i <= $BIT_LENGTH; $i++) {
# if(~$data[0] & $mask) { # (注: on: 0 / off: 1 のとき、~$data[0] とする)
if( $data[0] & $mask) {
# ここに(マスクにヒット)ビットが立っているときの処理を書く
print "bit $i: 1\n";
} else {
# ここにビットが立っていないときの処理を書く
print "bit $i: 0\n";
}
$mask = $mask << 1;
}