なぜPHPアプリにセキュリティホールが多いのか?
第2回 CVEでみるPHPアプリケーションセキュリティ(その2)
PHPアプリケーションの脆弱性は本当に多いのか?
前回のエントリを書いた後にSecurityForcus
確かに43%という数字はすごい数字です。前回はregister_
同じアプリに含まれる複数の脆弱性
PHPアプリケーションに限らず,
同じ日に登録されたThe Address Book脆弱性
- http://
nvd. nist. gov/ nvd. cfm?cvename=CVE-2006-4582 - http://
nvd. nist. gov/ nvd. cfm?cvename=CVE-2006-4581 - http://
nvd. nist. gov/ nvd. cfm?cvename=CVE-2006-4580 - http://
nvd. nist. gov/ nvd. cfm?cvename=CVE-2006-4579 - http://
nvd. nist. gov/ nvd. cfm?cvename=CVE-2006-4578 - http://
nvd. nist. gov/ nvd. cfm?cvename=CVE-2006-4577 - http://
nvd. nist. gov/ nvd. cfm?cvename=CVE-2006-4576 - http://
nvd. nist. gov/ nvd. cfm?cvename=CVE-2006-4575
セキュリティホールがあるアプリケーションの多くには,
PHPに限らず,
セキュリティを確保しづらいアプリケーションが多い
PHPで実装されたCMS,
CMS,
- http://
nvd. nist. gov/ nvd. cfm?cvename=CVE-2006-4779 - http://
nvd. nist. gov/ nvd. cfm?cvename=CVE-2006-5094 - http://
nvd. nist. gov/ nvd. cfm?cvename=CVE-2006-5191 - http://
nvd. nist. gov/ nvd. cfm?cvename=CVE-2006-5209 - http://
nvd. nist. gov/ nvd. cfm?cvename=CVE-2006-5222 - http://
nvd. nist. gov/ nvd. cfm?cvename=CVE-2006-5526 - http://
nvd. nist. gov/ nvd. cfm?cvename=CVE-2006-6841 - http://
nvd. nist. gov/ nvd. cfm?cvename=CVE-2006-6840 - http://
nvd. nist. gov/ nvd. cfm?cvename=CVE-2006-6839
これらのアプリケーションには設計の問題もありますが,
PHPで書かれたOSSのWebアプリが多い
PHPで書かれたOSSのWebアプリは,
SourceForge.
言語 | 登録数 |
---|---|
PHP | 15081 |
Perl | 6483 |
Python | 6033 |
Ruby | 749 |
Java | 21982 |
Javaの登録数のほうが多いですが,
CVEに登録される脆弱性を持ったソフトウェアは,
被害を避けるには?
広く利用されているPHPアプリケーションを使うとphpBBにあったワーム事件のような攻撃を受けるリスクが高くなります。一方,
被害を避けるには,
- ※
- 例えば特定のIPアドレスからしかアクセスを許可しないなど。システム管理系のWebアプリは認証があるものでも可能な限りアクセス可能なIPアドレスを限定するべきです。
この記事に関連する書籍
-
Webアプリセキュリティ対策入門〜あなたのサイトは大丈夫?
本書は,Webサイトのセキュリティ確保のために必要な基礎知識と,安全なコードを書くために必要な基礎知識を解説しています。Webアプリケーションは比較的簡単に作成で...
-
はじめてのPHP言語プログラミング入門
Webアプリケーション構築ツールとしてPHPを取り上げた書籍は数多くありますが,言語の解説・入門書としての書籍はあまりありません。 本書は,プログラミング言語として...
バックナンバー
なぜPHPアプリにセキュリティホールが多いのか?
- 第46回 セキュリティ対策を考える上で欠かせないコンテクスト
- 第45回 入力バリデーションはセキュリティ対策
- 第44回 セキュリティ対策が確実に実施されない2つの理由
- 第43回 PHP 5.3のcrypt関数の問題
- 第42回 PostgreSQL 9.0に見るSQLインジェクション対策
- 第41回 PHP 5.3.4におけるセキュリティ上重要な仕様変更
- 第40回 MOPS:安全性の高いパスワードハッシュ作成ツール - phpass
- 第39回 MOPS:静的PHPソースコード脆弱性スキャナ RIPS
- 第38回 MOPS:PHPにおけるコード実行(2)
- 第37回 MOPS:PHPにおけるコード実行(1)