これはえがい人の脆弱性

このエントリーをはてなブックマークに追加
2008年10月19日 カテゴリ:プログラミングTIPS
はてな界隈で有名な、「これはえがい」の人。つまり、↓この歌を歌っている人。


これはえがい」の人こと、永上裕之氏はネット系のサービスをたくさん作って公開しています。
ところが、周りから何度指摘されても、毎度のごとくサービスに脆弱性が存在しています。脆弱性を残しつつ、周りから叩いてもらうことでプロモーションする彼なりのマーケティングなのかもしれませんが、エンジニアにはとても不評です。

最近リリースした「flickr2.in」や「自動生成.in」にも脆弱性が存在しています。

■例えば、「flickr2.in」なら
http://flickr2.in/fli.html?data=%3Cscript%3Ejavascript%3Aalert(%27unko%27)%3B%3C%2Fscript%3E
にアクセスすると、javascriptが実行されてしまいます。

■例えば、「自動生成.in」なら
http://zidouseiseiin.aa3.jp/seisei/image.html?q=%3Ciframe+src%3Dhttp://www.hatena.ne.jp/+height%3D800+width%3D800%3E+
にアクセスすると、インラインフレームではてなのトップページが表示されてしまいます。

どちらも悪意のあるパラメータを設定されてリンクされてしまったら、非常に危険です。
永上氏は、過去にも同様の脆弱性を何度も指摘されながら、新しいサービスにその経験を活かしていません。もしかしたら、それも狙いなのかもしれませんが、あえて突っ込んでおきます。

まずは、最低限「PHPサイバーテロの技法―攻撃と防御の実際を読め!」と。



GIJOEさん著の「PHPサイバーテロの技法」は、セキュリティの本としては破格に安い1890円です。PHPアプリケーションをいくつもリリースしていくのなら、この本を読んでおいて損はありません。



PHPでの具体的な「攻撃方法」と「防御方法」が載っているので、どこに注意しなくてはいけないのかがわかるようになります。この本を読むだけで全ての脆弱性を防げるようになるという意味ではありませんが、どこが危ないか、どこに気を付ければ良いかを理解しておくことで、脆弱なアプリケーションを生む可能性は低くなります。

初心者はPHPで脆弱なウェブアプリをどんどん量産すべし」というエントリが今年の初めに流行りましたが、永上氏はいい加減PHP初心者を卒業しなくてはいけません。いつまでもアマでいるのではなく、プロを名乗るべきです。共同プロデュースでも、チェックくらいできるはずです。

存在自体が脆弱性」などと呼ばれるようになる前に、セキュリティの勉強をしておくことをおすすめします。

PHPサイバーテロの技法―攻撃と防御の実際

GIJOE
ソシム
2005-11

by [Z]ZAPAnetサーチ2.0

脆弱性について勉強になる関連リンク

Webアプリケーションを作る前に知るべき10の脆弱性 − @IT
情報処理推進機構:セキュリティセンター:知っていますか?脆弱性 (ぜいじゃくせい)
IPA ISEC セキュア・プログラミング講座:Webアプリケーション編 第1章 総論:より良いWebアプリケーション設計のヒント
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイト運営入門
[ThinkIT] 第1回:Webアプリケーションの脆弱性 (1/4)
PHP/脆弱性リスト/メモ - yohgaki's wiki
Japan Vulnerability Notes