Tag Archives: escape

常見搞爆系統的字串

Posted on January 20, 2017 by Gea-Suan Lin

Big List of Naughty Strings 是個測試用的列表,拿他來塞 input 看看系統會不會爆炸出現 500 之類的錯誤 XD 2015 年就有的專案,這幾天又上了 Hacker News 跟 reddit 於是又冒出來了...

Posted in Computer, Murmuring, Network, Programming, Security, WWW | Tagged , , , , , , | Leave a comment

cron 裡面的百分比符號 % 有特殊意義...

Posted on December 15, 2015 by Gea-Suan Lin

在試了一陣子後才發現的問題,crontab 裡的百分比符號 % 是特殊字元:「escaping double quotes and percent signs (%) in cron」。 取自 Debian 上的 crontab(5): Percent-signs (%) in the command, unless escaped with backslash (\), will be changed into newline characters, and all data after the first % will … Continue reading

Posted in Computer, Murmuring, Software | Tagged , , , | Leave a comment

Filter Input & Escape Output...

Posted on December 27, 2013 by Gea-Suan Lin

維基百科上有一篇「Secure input and output handling」說明要怎麼處理 input 與 output (對資安方面的說明)。標題的 Filter Input 與 Escape Output 是 Gasol 之前提到後才知道的名詞,以前只知道要 validate & escape,沒想過一個比較好記的念法... 這邊都以 PHP 為主,其他程式語言也應該會有對應的方式... Input 有很多管道,有可能是使用者或是 3rd party 廠商透過 Form 傳進來的資料 (在 PHP 裡可能是 $_GET 或是 $_POST),也有可能是 cookie 的資料 (因為使用者可以修改,所以視為不安全的資料)。從檔案讀資料進來 (可能是普通的文字檔,或是 … Continue reading

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , , | 3 Comments

PHP 5.4 的 json_encode 增加 JSON_UNESCAPED_SLASHES...

Posted on September 20, 2013 by Gea-Suan Lin

剛剛翻資料發現 json_encode 奇怪的老問題總算有解... 這樣的程式碼: <?php echo json_encode("http://www.google.com/"), "\n"; 會輸出這樣的結果: "http:\/\/www.google.com\/" 這是合法的 JSON 沒錯 (JSON 規格允許 string 裡面使用 \/),但看起來就很不爽啊,明明 / 就是可以合法輸出的字元... 然後剛剛看到 PHP 5.4.0 加上這些東西: JSON_PRETTY_PRINT, JSON_UNESCAPED_SLASHES, and JSON_UNESCAPED_UNICODE options were added. 測了 JSON_UNESCAPED_SLASHES,看起來舒服多了: <?php echo json_encode("http://www.google.com/", JSON_UNESCAPED_SLASHES), "\n"; 輸出結果是: "http://www.google.com/"

Posted in Computer, Murmuring, Programming | Tagged , , , , | Leave a comment

網路安全歡樂記...

Posted on August 29, 2013 by Gea-Suan Lin

在 Twitter 上看到 John Resig 提到一串 reddit 上超歡樂的安全性議題: This thread on /r/PHP is just too good/scary to be true: http://t.co/KwLK37kk0l — John Resig (@jeresig) August 28, 2013 討論串在「Creating a user from the web problem.」這邊。不僅是 escape 的問題,還有給予 web server 過大的權限... 貼圖也很好笑啊 … Continue reading

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , | Leave a comment