Suche senden
Hochladen
SecurityとValidationの奇妙な関係、あるいはDrupalはなぜValidationをしたがらないのか
•
26 gefällt mir
•
9,288 views
Hiroshi Tokumaru
Folgen
Validation Night(2014/12/4)での講演資料
Weniger lesen
Mehr lesen
Technologie
Melden
Teilen
Melden
Teilen
1 von 27
Empfohlen
Phpcon2015
Phpcon2015
Hiroshi Tokumaru
phpMyAdminにおけるスクリプト実行可能な脆弱性3種盛り合わせ
phpMyAdminにおけるスクリプト実行可能な脆弱性3種盛り合わせ
Hiroshi Tokumaru
Rails SQL Injection Examplesの紹介
Rails SQL Injection Examplesの紹介
Hiroshi Tokumaru
『例えば、PHPを避ける』以降PHPはどれだけ安全になったか
『例えば、PHPを避ける』以降PHPはどれだけ安全になったか
Hiroshi Tokumaru
安全なPHPアプリケーションの作り方2013
安全なPHPアプリケーションの作り方2013
Hiroshi Tokumaru
XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門
Hiroshi Tokumaru
文字コードの脆弱性はこの3年間でどの程度対策されたか?
文字コードの脆弱性はこの3年間でどの程度対策されたか?
Hiroshi Tokumaru
徳丸本ができるまで
徳丸本ができるまで
Hiroshi Tokumaru
Empfohlen
Phpcon2015
Phpcon2015
Hiroshi Tokumaru
phpMyAdminにおけるスクリプト実行可能な脆弱性3種盛り合わせ
phpMyAdminにおけるスクリプト実行可能な脆弱性3種盛り合わせ
Hiroshi Tokumaru
Rails SQL Injection Examplesの紹介
Rails SQL Injection Examplesの紹介
Hiroshi Tokumaru
『例えば、PHPを避ける』以降PHPはどれだけ安全になったか
『例えば、PHPを避ける』以降PHPはどれだけ安全になったか
Hiroshi Tokumaru
安全なPHPアプリケーションの作り方2013
安全なPHPアプリケーションの作り方2013
Hiroshi Tokumaru
XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門
Hiroshi Tokumaru
文字コードの脆弱性はこの3年間でどの程度対策されたか?
文字コードの脆弱性はこの3年間でどの程度対策されたか?
Hiroshi Tokumaru
徳丸本ができるまで
徳丸本ができるまで
Hiroshi Tokumaru
安全なPHPアプリケーションの作り方2014
安全なPHPアプリケーションの作り方2014
Hiroshi Tokumaru
文字コードに起因する脆弱性とその対策(増補版)
文字コードに起因する脆弱性とその対策(増補版)
Hiroshi Tokumaru
Webアプリでパスワード保護はどこまでやればいいか
Webアプリでパスワード保護はどこまでやればいいか
Hiroshi Tokumaru
今日こそわかる、安全なWebアプリの作り方2010
今日こそわかる、安全なWebアプリの作り方2010
Hiroshi Tokumaru
SQLインジェクション再考
SQLインジェクション再考
Hiroshi Tokumaru
Railsエンジニアのためのウェブセキュリティ入門
Railsエンジニアのためのウェブセキュリティ入門
Hiroshi Tokumaru
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
Hiroshi Tokumaru
とある診断員とSQLインジェクション
とある診断員とSQLインジェクション
zaki4649
Webシステム脆弱性LT資料
Webシステム脆弱性LT資料
Tomohito Adachi
Webアプリ開発者のためのHTML5セキュリティ入門
Webアプリ開発者のためのHTML5セキュリティ入門
Muneaki Nishimura
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ
Hiroshi Tokumaru
Webサイトをめぐるセキュリティ状況と効果的な防御方法(WordPress編)
Webサイトをめぐるセキュリティ状況と効果的な防御方法(WordPress編)
Hiroshi Tokumaru
いまさら聞けないパスワードの取り扱い方
いまさら聞けないパスワードの取り扱い方
Hiroshi Tokumaru
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
Yosuke HASEGAWA
他人事ではないWebセキュリティ
他人事ではないWebセキュリティ
Yosuke HASEGAWA
【SQLインジェクション対策】徳丸先生に怒られない、動的SQLの安全な組み立て方
【SQLインジェクション対策】徳丸先生に怒られない、動的SQLの安全な組み立て方
kwatch
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
zaki4649
XSS再入門
XSS再入門
Hiroshi Tokumaru
[db tech showcase Tokyo 2014] B26: PostgreSQLを拡張してみよう by SRA OSS, Inc. 日本支社 高塚遥
[db tech showcase Tokyo 2014] B26: PostgreSQLを拡張してみよう by SRA OSS, Inc. 日本支社 高塚遥
Insight Technology, Inc.
ソーシャルゲーム案件におけるDB分割のPHP実装
ソーシャルゲーム案件におけるDB分割のPHP実装
infinite_loop
CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう
CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう
Hiroshi Tokumaru
セキュアコーディング方法論再構築の試み
セキュアコーディング方法論再構築の試み
Hiroshi Tokumaru
Weitere ähnliche Inhalte
Was ist angesagt?
安全なPHPアプリケーションの作り方2014
安全なPHPアプリケーションの作り方2014
Hiroshi Tokumaru
文字コードに起因する脆弱性とその対策(増補版)
文字コードに起因する脆弱性とその対策(増補版)
Hiroshi Tokumaru
Webアプリでパスワード保護はどこまでやればいいか
Webアプリでパスワード保護はどこまでやればいいか
Hiroshi Tokumaru
今日こそわかる、安全なWebアプリの作り方2010
今日こそわかる、安全なWebアプリの作り方2010
Hiroshi Tokumaru
SQLインジェクション再考
SQLインジェクション再考
Hiroshi Tokumaru
Railsエンジニアのためのウェブセキュリティ入門
Railsエンジニアのためのウェブセキュリティ入門
Hiroshi Tokumaru
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
Hiroshi Tokumaru
とある診断員とSQLインジェクション
とある診断員とSQLインジェクション
zaki4649
Webシステム脆弱性LT資料
Webシステム脆弱性LT資料
Tomohito Adachi
Webアプリ開発者のためのHTML5セキュリティ入門
Webアプリ開発者のためのHTML5セキュリティ入門
Muneaki Nishimura
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ
Hiroshi Tokumaru
Webサイトをめぐるセキュリティ状況と効果的な防御方法(WordPress編)
Webサイトをめぐるセキュリティ状況と効果的な防御方法(WordPress編)
Hiroshi Tokumaru
いまさら聞けないパスワードの取り扱い方
いまさら聞けないパスワードの取り扱い方
Hiroshi Tokumaru
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
Yosuke HASEGAWA
他人事ではないWebセキュリティ
他人事ではないWebセキュリティ
Yosuke HASEGAWA
【SQLインジェクション対策】徳丸先生に怒られない、動的SQLの安全な組み立て方
【SQLインジェクション対策】徳丸先生に怒られない、動的SQLの安全な組み立て方
kwatch
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
zaki4649
XSS再入門
XSS再入門
Hiroshi Tokumaru
[db tech showcase Tokyo 2014] B26: PostgreSQLを拡張してみよう by SRA OSS, Inc. 日本支社 高塚遥
[db tech showcase Tokyo 2014] B26: PostgreSQLを拡張してみよう by SRA OSS, Inc. 日本支社 高塚遥
Insight Technology, Inc.
ソーシャルゲーム案件におけるDB分割のPHP実装
ソーシャルゲーム案件におけるDB分割のPHP実装
infinite_loop
Was ist angesagt?
(20)
安全なPHPアプリケーションの作り方2014
安全なPHPアプリケーションの作り方2014
文字コードに起因する脆弱性とその対策(増補版)
文字コードに起因する脆弱性とその対策(増補版)
Webアプリでパスワード保護はどこまでやればいいか
Webアプリでパスワード保護はどこまでやればいいか
今日こそわかる、安全なWebアプリの作り方2010
今日こそわかる、安全なWebアプリの作り方2010
SQLインジェクション再考
SQLインジェクション再考
Railsエンジニアのためのウェブセキュリティ入門
Railsエンジニアのためのウェブセキュリティ入門
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
とある診断員とSQLインジェクション
とある診断員とSQLインジェクション
Webシステム脆弱性LT資料
Webシステム脆弱性LT資料
Webアプリ開発者のためのHTML5セキュリティ入門
Webアプリ開発者のためのHTML5セキュリティ入門
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ
Webサイトをめぐるセキュリティ状況と効果的な防御方法(WordPress編)
Webサイトをめぐるセキュリティ状況と効果的な防御方法(WordPress編)
いまさら聞けないパスワードの取り扱い方
いまさら聞けないパスワードの取り扱い方
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
他人事ではないWebセキュリティ
他人事ではないWebセキュリティ
【SQLインジェクション対策】徳丸先生に怒られない、動的SQLの安全な組み立て方
【SQLインジェクション対策】徳丸先生に怒られない、動的SQLの安全な組み立て方
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
XSS再入門
XSS再入門
[db tech showcase Tokyo 2014] B26: PostgreSQLを拡張してみよう by SRA OSS, Inc. 日本支社 高塚遥
[db tech showcase Tokyo 2014] B26: PostgreSQLを拡張してみよう by SRA OSS, Inc. 日本支社 高塚遥
ソーシャルゲーム案件におけるDB分割のPHP実装
ソーシャルゲーム案件におけるDB分割のPHP実装
Andere mochten auch
CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう
CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう
Hiroshi Tokumaru
セキュアコーディング方法論再構築の試み
セキュアコーディング方法論再構築の試み
Hiroshi Tokumaru
脆弱性は誰のせい? PHP、MySQL、Joomla! の責任やいかに
脆弱性は誰のせい? PHP、MySQL、Joomla! の責任やいかに
Hiroshi Tokumaru
安全なPHPアプリケーションの作り方2016
安全なPHPアプリケーションの作り方2016
Hiroshi Tokumaru
focuslight-validator validate sinatra application - validation night at LINE ...
focuslight-validator validate sinatra application - validation night at LINE ...
Satoshi Suzuki
実践Herokuデータベース編 Webセミナー
実践Herokuデータベース編 Webセミナー
Salesforce Developers Japan
Javaでのバリデーション 〜Bean Validation篇〜
Javaでのバリデーション 〜Bean Validation篇〜
eiryu
RDBにおけるバリデーションをリレーショナルモデルから考える
RDBにおけるバリデーションをリレーショナルモデルから考える
Mikiya Okuno
CSRF脆弱性について
CSRF脆弱性について
Masaaki Kakimoto
WAS Forum 2010カンファレンス:ケータイ2.0が開けてしまったパンドラの箱
WAS Forum 2010カンファレンス:ケータイ2.0が開けてしまったパンドラの箱
Hiroshi Tokumaru
ガラケーで楽しむオレJSの勧め
ガラケーで楽しむオレJSの勧め
Hiroshi Tokumaru
UnicodeによるXSSとSQLインジェクションの可能性
UnicodeによるXSSとSQLインジェクションの可能性
Hiroshi Tokumaru
文字コードに起因する脆弱性とその対策
文字コードに起因する脆弱性とその対策
Hiroshi Tokumaru
徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2012
徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2012
Hiroshi Tokumaru
徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2011
徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2011
Hiroshi Tokumaru
ログイン前セッションフィクセイション攻撃の脅威と対策
ログイン前セッションフィクセイション攻撃の脅威と対策
Hiroshi Tokumaru
PHPカンファレンス2009 - 45分で分かる安全なWebアプリケーション開発のための発注・要件・検収
PHPカンファレンス2009 - 45分で分かる安全なWebアプリケーション開発のための発注・要件・検収
Hiroshi Tokumaru
Andere mochten auch
(17)
CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう
CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう
セキュアコーディング方法論再構築の試み
セキュアコーディング方法論再構築の試み
脆弱性は誰のせい? PHP、MySQL、Joomla! の責任やいかに
脆弱性は誰のせい? PHP、MySQL、Joomla! の責任やいかに
安全なPHPアプリケーションの作り方2016
安全なPHPアプリケーションの作り方2016
focuslight-validator validate sinatra application - validation night at LINE ...
focuslight-validator validate sinatra application - validation night at LINE ...
実践Herokuデータベース編 Webセミナー
実践Herokuデータベース編 Webセミナー
Javaでのバリデーション 〜Bean Validation篇〜
Javaでのバリデーション 〜Bean Validation篇〜
RDBにおけるバリデーションをリレーショナルモデルから考える
RDBにおけるバリデーションをリレーショナルモデルから考える
CSRF脆弱性について
CSRF脆弱性について
WAS Forum 2010カンファレンス:ケータイ2.0が開けてしまったパンドラの箱
WAS Forum 2010カンファレンス:ケータイ2.0が開けてしまったパンドラの箱
ガラケーで楽しむオレJSの勧め
ガラケーで楽しむオレJSの勧め
UnicodeによるXSSとSQLインジェクションの可能性
UnicodeによるXSSとSQLインジェクションの可能性
文字コードに起因する脆弱性とその対策
文字コードに起因する脆弱性とその対策
徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2012
徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2012
徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2011
徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2011
ログイン前セッションフィクセイション攻撃の脅威と対策
ログイン前セッションフィクセイション攻撃の脅威と対策
PHPカンファレンス2009 - 45分で分かる安全なWebアプリケーション開発のための発注・要件・検収
PHPカンファレンス2009 - 45分で分かる安全なWebアプリケーション開発のための発注・要件・検収
Ähnlich wie SecurityとValidationの奇妙な関係、あるいはDrupalはなぜValidationをしたがらないのか
知って得する標準関数の使い方
知って得する標準関数の使い方
Soudai Sone
test
test
a1yama1123
WDD2012_SC-004
WDD2012_SC-004
Kuninobu SaSaki
swooleを試してみた
swooleを試してみた
Yukihiro Katsumi
PHP Object Injection入門
PHP Object Injection入門
Yu Iwama
Web技術勉強会 20100925
Web技術勉強会 20100925
龍一 田中
ビギナーだから使いたいO/Rマッパー ~Tengを使った開発~
ビギナーだから使いたいO/Rマッパー ~Tengを使った開発~
Akabane Hiroyuki
Alfresco勉強会20120829: やさしいShareダッシュレットの作り方
Alfresco勉強会20120829: やさしいShareダッシュレットの作り方
linzhixing
最新PHP事情 (2000年7月22日,PHPカンファレンス)
最新PHP事情 (2000年7月22日,PHPカンファレンス)
Rui Hirokawa
HDPをWindowsで動かしてみた
HDPをWindowsで動かしてみた
adachij2002
System4 detail for_h
System4 detail for_h
Jun Chiba
PerlとSQLのいろいろ
PerlとSQLのいろいろ
Takuya Tsuchida
Web技術勉強会 第25回
Web技術勉強会 第25回
龍一 田中
RDBでのツリー表現入門
RDBでのツリー表現入門
Kent Ohashi
3時間濃縮CakePHP2.1 in PHPカンファレンス北海道2012
3時間濃縮CakePHP2.1 in PHPカンファレンス北海道2012
Yusuke Ando
Mojoliciousをウェブ制作現場で使ってみてる
Mojoliciousをウェブ制作現場で使ってみてる
jamadam
Inside mobage platform
Inside mobage platform
Toru Yamaguchi
CMSとPerlで遊ぼう
CMSとPerlで遊ぼう
Daiki Ichinose
STNSサーバーを書いてみた
STNSサーバーを書いてみた
Yoshinori Teraoka
[東京] JapanSharePointGroup 勉強会 #2
[東京] JapanSharePointGroup 勉強会 #2
Atsuo Yamasaki
Ähnlich wie SecurityとValidationの奇妙な関係、あるいはDrupalはなぜValidationをしたがらないのか
(20)
知って得する標準関数の使い方
知って得する標準関数の使い方
test
test
WDD2012_SC-004
WDD2012_SC-004
swooleを試してみた
swooleを試してみた
PHP Object Injection入門
PHP Object Injection入門
Web技術勉強会 20100925
Web技術勉強会 20100925
ビギナーだから使いたいO/Rマッパー ~Tengを使った開発~
ビギナーだから使いたいO/Rマッパー ~Tengを使った開発~
Alfresco勉強会20120829: やさしいShareダッシュレットの作り方
Alfresco勉強会20120829: やさしいShareダッシュレットの作り方
最新PHP事情 (2000年7月22日,PHPカンファレンス)
最新PHP事情 (2000年7月22日,PHPカンファレンス)
HDPをWindowsで動かしてみた
HDPをWindowsで動かしてみた
System4 detail for_h
System4 detail for_h
PerlとSQLのいろいろ
PerlとSQLのいろいろ
Web技術勉強会 第25回
Web技術勉強会 第25回
RDBでのツリー表現入門
RDBでのツリー表現入門
3時間濃縮CakePHP2.1 in PHPカンファレンス北海道2012
3時間濃縮CakePHP2.1 in PHPカンファレンス北海道2012
Mojoliciousをウェブ制作現場で使ってみてる
Mojoliciousをウェブ制作現場で使ってみてる
Inside mobage platform
Inside mobage platform
CMSとPerlで遊ぼう
CMSとPerlで遊ぼう
STNSサーバーを書いてみた
STNSサーバーを書いてみた
[東京] JapanSharePointGroup 勉強会 #2
[東京] JapanSharePointGroup 勉強会 #2
Mehr von Hiroshi Tokumaru
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
ウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説する
Hiroshi Tokumaru
脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する
脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する
Hiroshi Tokumaru
徳丸本VMに脆弱なWordPressを導入する
徳丸本VMに脆弱なWordPressを導入する
Hiroshi Tokumaru
introduction to unsafe deserialization part1
introduction to unsafe deserialization part1
Hiroshi Tokumaru
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
Hiroshi Tokumaru
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
Hiroshi Tokumaru
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
Hiroshi Tokumaru
安全なWebアプリケーションの作り方2018
安全なWebアプリケーションの作り方2018
Hiroshi Tokumaru
秀スクリプトの話
秀スクリプトの話
Hiroshi Tokumaru
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう
Hiroshi Tokumaru
若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座
Hiroshi Tokumaru
ウェブセキュリティの常識
ウェブセキュリティの常識
Hiroshi Tokumaru
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
Hiroshi Tokumaru
ウェブアプリケーションセキュリティ超入門
ウェブアプリケーションセキュリティ超入門
Hiroshi Tokumaru
ウェブセキュリティの最近の話題早分かり
ウェブセキュリティの最近の話題早分かり
Hiroshi Tokumaru
セキュリティの都市伝説を暴く
セキュリティの都市伝説を暴く
Hiroshi Tokumaru
Mehr von Hiroshi Tokumaru
(17)
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
ウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説する
脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する
脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する
徳丸本VMに脆弱なWordPressを導入する
徳丸本VMに脆弱なWordPressを導入する
introduction to unsafe deserialization part1
introduction to unsafe deserialization part1
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
安全なWebアプリケーションの作り方2018
安全なWebアプリケーションの作り方2018
秀スクリプトの話
秀スクリプトの話
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう
若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座
ウェブセキュリティの常識
ウェブセキュリティの常識
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
ウェブアプリケーションセキュリティ超入門
ウェブアプリケーションセキュリティ超入門
ウェブセキュリティの最近の話題早分かり
ウェブセキュリティの最近の話題早分かり
セキュリティの都市伝説を暴く
セキュリティの都市伝説を暴く
Kürzlich hochgeladen
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
Toru Tamaki
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
atsushi061452
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
WSO2
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
sn679259
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Hiroshi Tomioka
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Toru Tamaki
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
CRI Japan, Inc.
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
CRI Japan, Inc.
Kürzlich hochgeladen
(11)
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
SecurityとValidationの奇妙な関係、あるいはDrupalはなぜValidationをしたがらないのか
1.
SecurityとValidationの奇妙な関係、あるいは DrupalはなぜValidationをしたがらないのか HASHコンサルティング株式会社 徳丸 浩
2.
アジェンダ • Drupalの2つの脆弱性 – Drupageddon(CVE-2014-3704) –
Drupalのログイン画面におけるDoS脆弱性(CVE-2014- 9999) • Drupalの脆弱性とValidation • SecurityとValidationの奇妙な関係 • Validation論争 Copyright © 2012-2014 HASH Consulting Corp. 2
3.
Drupalとは Drupal(ドルーパル、発音: /ˈdruːpəl/)は、プログラム言語PHPで記述され たフリーでオープンソースのモジュラー式フレームワークであり、コンテ ンツ管理システム (CMS)
である。昨今の多くのCMSと同様に、Drupalはシ ステム管理者にコンテンツの作成と整理、提示方法のカスタマイズ、管理 作業の自動化、サイトへの訪問者や寄稿者の管理を可能にする。 その性能がコンテンツ管理から、幅広いサービスや商取引を可能にするに まで及ぶことから、Drupalは時々「ウェブアプリケーションフレームワー ク」であると評される。Drupalは洗練されたプログラミング・インター フェースを提供するものの、基本的なウェブサイトの設置と管理はプログ ラミングなしに成し遂げることができる。Drupalは一般に、最も優れた Web 2.0フレームワークの一つであると考えられている。 ※Wikipediaより引用 3 WhiteHouse NASA 国立国会図書館カレントアウェアネス
4.
Drupageddon Copyright © 2012-2014
HASH Consulting Corp. 4
5.
Drupageddon(CVE-2014-3704)とは • Drupal Ver7.31以前に存在するSQLインジェクショ ン脆弱性 •
非常に危険性の高い脆弱性であるので、アルマゲド ンをもじってドゥルパゲドンと命名された模様 • 日本ではあまり話題になっていない(Drupalのシェ アのせい?) Copyright © 2012-2014 HASH Consulting Corp. 5
6.
Drupalの脆弱性突く攻撃横行、「侵入されたと想定して対処を」 オープンソースのコンテンツ管理システム(CMS)「Drupal」に 極めて深刻な脆弱(ぜいじゃく)性が見つかった問題で、Drupalは 10月29日、脆弱性修正のパッチを直後に適用しなかったWebサイト は侵入された可能性があると警告した。米セキュリティ機関のUS- CERTも、アップデートや回避策の適用を呼びかけている。 問題のSQLインジェクションの脆弱性は、Drupalのバージョン7.x に存在する。悪用された場合、攻撃者にバックドアを仕掛けられ、 サイトの全データをコピーされる恐れがある。攻撃の痕跡は残らな い。この脆弱性を修正した「Drupal 7.32」は10月15日にリリースさ れた。 Drupalによると、この10月15日の発表の直後から、脆弱性を修正 していないWebサイトに対する攻撃が始まった。「すべてのDrupal 7サイトは、世界協定時間の10月15日午後11時(日本時間16日午前8 時)までにアップデートまたはパッチを適用していない限り、破ら れたと想定して対処しなければならない」とDrupalは警告する。 6http://www.itmedia.co.jp/enterprise/articles/1410/31/news050.html より引用
7.
Drupalのログイン処理のSQL文を調べる Copyright © 2012-2014
HASH Consulting Corp. 7 name=admin&pass=xxxxxxxx&form_build_id=form-xQZ7X78LULvs6SyB9Mvuf bZh5KXjQYRHS05Jl2uD9Kc&form_id=user_login_block&op=Log+in SELECT * FROM users WHERE name = 'admin' AND status = 1 name[]=user1&name[]=user2&pass=xxxxxxxx&form_build_id=form-xQZ7X7 8LULvs6SyB9MvufbZh5KXjQYRHS05Jl2uD9Kc&form_id=user_login_block&op =Log+in SELECT * FROM users WHERE name = 'user1', 'user2' AND status = 1 通常時の要求 通常時のSQL文 nameを配列で指定 nameを配列にした場合のSQL文 文字列リテラルが複数生成される
8.
IN句生成の便利な呼び出し方だが… Copyright © 2012-2014
HASH Consulting Corp. 8 <?php db_query("SELECT * FROM {users} where name IN (:name)", array(':name'=>array('user1','user2'))); ?> SELECT * from users where name IN (:name_0, :name_1) array(':name_0'=>'user1', ':name_1'=>'user2')) db_queryにてIN句のバインド値を配列にすると… IN句の値がプレースホルダのリストに展開される バインド値の配列は以下の様に変形される
9.
キー名をつけると Copyright © 2012-2014
HASH Consulting Corp. 9 name[id1]=user1&name[id2]=user2 SELECT * FROM {users} WHERE name = :name_id1, :name_id2 AND statu s = 1 キー名をつけてみる(id1, id2) プレースホルダにキー名がつく
10.
空白付きのキー Copyright © 2012-2014
HASH Consulting Corp. 10 array(2) { [":name_1 xxxxx"] => "user1" ← :name_1 ではない [":name_2"] => "user2" } SELECT * FROM {users} WHERE name = :name_1 xxxxx, :name_2 AND sta tus = 1 キー名に空白をつけてみる プレースホルダに空白が含まれる ちぎれたプレースホルダはSQL文 の一部として認識される プレースホルダには、キー :name_1がないので上記のSQL文呼び出しはエラーになる name[1 xxxxx]=user1&name[2]=user2
11.
バインド値のつじつまを合わせる Copyright © 2012-2014
HASH Consulting Corp. 11 array(2) { [":name_2 xxxxx"] => "" [":name_2"] => "user2" } SELECT * FROM {users} WHERE name = :name_2 xxxxx, :name_2 AND sta tus = 1 キー名に空白をつけてみる プレースホルダに空白が含まれる プレースホルダ :name_2 が 2箇所現れる プレースホルダ配列は上記SQL文の要求を満たすのでSQL文は呼び出される… が、xxxxxの箇所でSQLの文法違反となる name[2 xxxxx]=&name[2]=user2
12.
SQLインジェクションを試す Copyright © 2012-2014
HASH Consulting Corp. 12 SELECT * FROM users WHERE name = 'user2' ;SELECT sleep(10) -- , ' user2' AND status = 1 キー名に追加のSQL文を書く 実際に呼び出されるSQL文 name[2 ;SELECT sleep(10) -- ]=&name[2]=user2 SELECT * FROM {users} WHERE name = :name_2 ;SELECT sleep(10) -- , :name_2 AND status = 1 プレースホルダの後ろに追加のSQL文が現れる
13.
脆弱なソース // includes/database/database.inc protected function
expandArguments(&$query, &$args) { $modified = FALSE; // $argsの要素から配列のみ処理対象として foreach foreach (array_filter($args, 'is_array') as $key => $data) { $new_keys = array(); // $dataは配列であるはずなので、foreach 可能。 $i(キー)に注目 foreach ($data as $i => $value) { $new_keys[$key . '_' . $i] = $value; } // $queryを改変 $new_keysのキーをarray_keysでSQL文に混ぜている $query = preg_replace('#' . $key . 'b#', implode(', ', array_keys($new_keys)), $query); unset($args[$key]); $args += $new_keys; $modified = TRUE; } return $modified; } Copyright © 2012-2014 HASH Consulting Corp. 13
14.
対策版 // includes/database/database.inc protected function
expandArguments(&$query, &$args) { $modified = FALSE; // $argsの要素から配列のみ処理対象として foreach foreach (array_filter($args, 'is_array') as $key => $data) { $new_keys = array(); // $dataは配列であるはずなので、foreach 可能。 $i(キー)に注目 //foreach ($data as $i => $value) { foreach (array_values($data) as $i => $value) { // キーを削除 $new_keys[$key . '_' . $i] = $value; } // $queryを改変 $new_keysのキーをarray_keysでSQL文に混ぜている $query = preg_replace('#' . $key . 'b#', implode(', ', array_keys($new_keys)), $query); unset($args[$key]); $args += $new_keys; $modified = TRUE; } return $modified; } Copyright © 2012-2014 HASH Consulting Corp. 14
15.
Drupalのログイン画面におけるDoS脆弱 性(CVE-2014-9016) Copyright © 2012-2014
HASH Consulting Corp. 15
16.
16http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-005632.html より引用 想定される影響 第三者により、巧妙に細工されたリクエストを介して、 サービス運用妨害 (CPU
資源およびメモリの消費) 状態にされる可能性があります。
17.
巧妙に細工されたリクエスト…とは? POST /drupal731/?q=node&destination=node HTTP/1.1 Host:
example.jp User-Agent: Mozilla Cookie: has_js=1 Connection: keep-alive Content-Type: application/x-www-form-urlencoded Content-Length: 10114 name=admin&pass=1234567890123456789012345678901234567890123456789012 345678901234567890123456789012345678901234567890123456789012345678901 234567890123456789012345678901234567890123456789012345678901234567890 123456789012345678901234567890123456789012345678901234567890123456789 012345678901234567890123456789012345678901234567890123456789012345678 901234567890123456789012345678901234567890123456789012345678901234567 890123456789012345678901234567890123456789012345678901234567890123456 789012345678901234567890123456789012345678901234567890……..…1234567890 123456789012345678901234567890123456789012345678901234567890123456789 012345678901234567890123456789012345678901234567890123456789012345678 901234567890123456789012345678901234567890&form_build_id=form-Fw_Sa9fPZ 5wQBHOURorm7aOILRlK2KXropvxrELFKtc&form_id=user_login_block&op=Log+in Copyright © 2012-2014 HASH Consulting Corp. 17 100万バイトの パスワード DEMO
18.
パスワードハッシュ値の計算部分 function _password_crypt($algo, $password,
$setting) { // ... // Convert the base 2 logarithm into an integer. $count = 1 << $count_log2; // $count は32768となる // We rely on the hash() function being available in PHP 5.2+. // ソルトとパスワードを連結したもののSHA-512ハッシュを求める $hash = hash($algo, $salt . $password, TRUE); do { // これまでのハッシュ値とパスワードを連結したもののSHA-512ハッシュ $hash = hash($algo, $hash . $password, TRUE); } while (--$count); // 32768回繰り返し $len = strlen($hash); $output = $setting . _password_base64_encode($hash, $len); $expected = 12 + ceil((8 * $len) / 6); return (strlen($output) == $expected) ? substr($output, 0, DRUPAL_HASH_LENGTH) : FALSE; } Copyright © 2012-2014 HASH Consulting Corp. 18
19.
対策版 function _password_crypt($algo, $password,
$setting) { // Prevent DoS attacks by refusing to hash large passwords. if (strlen($password) > 512) { return FALSE; } // 後は同じ… } Copyright © 2012-2014 HASH Consulting Corp. 19
20.
Drupalの脆弱性とValidation Copyright © 2012-2014
HASH Consulting Corp. 20
21.
Drupalとバリデーション • Drupalは必要最低限のバリデーションしかしない • ユーザ登録の際にはバリデーションをしている –
ユーザIDは60文字以下 – パスワードは128文字以下 • ログインの際は、バリデーションは何もしていない • バリデーションが「ヒント」になるといけないか ら? • 現実的に、バリデーションさえやっていれば、2つ の脆弱性は防げていた Copyright © 2012-2014 HASH Consulting Corp. 21
22.
SecurityとValidationの奇妙な関係 Copyright © 2012-2014
HASH Consulting Corp. 22
23.
徳丸本にはなんと書いてあるか? ◆ 入力値検証とセキュリティ 入力値検証の主目的はセキュリティのためではありませんが、 セキュリティのために役立つ場合もあります。入力値検証がセ キュリティの役に立つのは以下のようなケースです。 • SQLインジェクション対策が漏れていたパラメータがあるが、 英数字のみ許可していたので実害には至らない •
PHP のバイナリセーフでない関数(後述)を使っているが、 入力段階で制御文字をチェックしているので実害には至らな い • 表示処理の関数に文字エンコーディングの指定を怠っている が、入力段階で不正な文字エンコーディングをチェックして いるので実害には至らない 23 体系的に学ぶ 安全なWebアプリケーションの作り方 P76より引用
24.
もう入力値検証はセキュリティ対策として *あてにしない* ようにしよう スタックオーバーフロー対策をする場合、関数の入口でチェックすれば大抵対策可 能なんだけど、それだと対策漏れの可能性があるから、例えば、strcpyの代わりに strncpyあるいはもっと高機能な文字列関数を使うことが当然になってきました。 これは、入口でのチェックだと漏れやすいから、脆弱性が発生するその箇所で対策 するという考え方にシフトしているのだと私は考えます。 Webアプリケーションの場合も同様で、…例えば、パストラバーサル脆弱性対処の ためのファイル名の確認は、ファイルをオープンする直前(ファイル名を使う直 前)に行うべきだ、という考え方です。 スタックオーバーフローに話を戻すと、関数の入口で行うチェックは、strcpyを呼 び出している関数の中で閉じた話なので、入口でのチェックとstrcpy呼び出しは、 それほど場所的に離れてはいないはずです。それでも、関数の入口でのチェックに 頼らずに、文字列のコピーをするたびにバッファ長の確認をするべきだということ です。 これに対して、Webアプリケーションの場合、リクエストを受け取ってから、入力 値を使う(HTML生成、SQL組み立て、ファイルオープン…)までは、さまざまな関 数を経て複雑な処理になっている場合が多いです。それだと、「このパラメータは 本当に検証されているのか」という確認には、さらに多大な労力が必要で、間違い も生じやすいと言えます。 24 http://tumblr.tokumaru.org/post/55393403591
より引用
25.
続き…まとめ • 脆弱性対策はミクロな範囲で確認できることが望ましい • 入力値検証による脆弱性対策は、検証と脆弱性発生箇所が離 れるので、確認がしにくい •
入力値の仕様は変更の可能性があるので、入力値検証に頼っ たセキュリティ施策は仕様変更に脆弱になる • そもそも入力値検証の元となる「仕様」は脆弱性とは無関係 に決められるものなので、脆弱性対処としてあてにするべき ではない • 脆弱性は「入力値(HTTPリクエスト)」だけに起因するも のではないので、その意味で入力値検証に頼ることは危険 • 入力値検証をするなという意味ではない。入力値検証は脆弱 性対処とは独立して行うべきである 25 http://tumblr.tokumaru.org/post/55393403591 より引用
26.
入力バリデーションはセキュリティ対策として*あてにする*ものではありません 徳丸さんに返信した前のエントリのリンクに「もう入力値検証はセキュリティ対策 として *あてにしない* ようにしよう」とあったので補足しておきます。 そもそも入力バリデーションは「あてにする」ような物ではありません。セキュリ ティ対策としては「転んだ時に役立つかも知れない杖」と捉えるべきです。役立つ か役立たないかは分かりませんが、SANS/CWE
TOP 25で「怪物的な緩和策」 (Monster Mitigation)のNo 1として挙げられているセキュリティ対策です。 つまり、毎年多数登録されるソフトウェア脆弱性データベースであるCVEデータ ベースのセキュリティ問題に対して、最も効果があるセキュリティ対策である、と いう事です。運任せでも統計的に役立つ事が実証されているセキュリティ対策を導 入しないのは効果的なセキュリティ対策であるとは言えません。 入力バリデーションは「あてにする」ような物ではありませんが、セキュリティ対 策として必ずやるべき対策です。運任せなので、より幸運にも脆弱性が攻撃できな い状況になるよう、ホワイトリスト方式で厳格にバリデーションするのが正しいや り方です。 26 http://blog.ohgaki.net/input-validation-is-not-dependable-but-efficient-security-measure より引用
27.
まとめ • Drupalのログイン処理ではバリデーションをしていない • Drupalの開発者は、ミクロの対処にこだわっているように見 える –
おまえとは旨い酒が飲めそうだw • しかし、頑なにバリデーションを拒否する必要もないように 思える • セキュリティ面から見た場合、バリデーションは… – Good : 様々な局面や未知の局面で役立つ可能性 – Bad : 脆弱性の根本対策ではない、役に立つとは限らない • 大垣さんと徳丸のバリデーションに関する主張はほとんど同 じで常人には区別は不能 • バリデーションは、アプリケーション仕様を元にやっときま しょう。「転ばぬ先の杖」になる場合もありますw Copyright © 2012-2014 HASH Consulting Corp. 27