How to keep your site safety

1. XOOPS Cube and Security WeeklyCMS 6.25 at Microsoft Japan

2. 自己紹介 Yoshi Sakai 有限会社ブルームーン ソフト開発 代表取締役Bluemooninc.jp XOOPS Cube YouTube Channel and SNSXoopscube.info WeeklyCMS USTREAM TV Show @bluemooninc Guitar freak

3. How to keepSecure CMS

4. ProtectorModule -悪意あるクローラー（メール収集ボットなど） - システムグローバル変数汚染 - セッションハイジャック - ヌルバイト攻撃 - ディレクトリ遡り攻撃 - いくつかの危険なCSRF (XOOPS 2.0.9.2Under) - Brute Force （パスワード総当たり） - 拡張子偽装画像ファイルアップロード (すなわち、IE Content-Type XSS) - 実行可能なファイルをアップロードする攻撃 - XMLRPC関連 - コメントSPAM/トラックバックSPAM等、あらゆるSPAM

5. Check Source Code foreach ($_POST as $key => $value){ $$key = $value;}foreach ($_GET as $key => $value){ $$key = $value;} $hoge = isset($_GET[‘hoge’]) ? $_GET[‘hoge’] : 0;

6. Check Source Code DO NOT useforeach $_POST and $_GET $hoge = isset($_GET[‘hoge’]) ? Intval($_GET[‘hoge’]) : 0; $hoge = isset($_GET[‘hoge’]) ? htmlspecialchars($_GET[‘hoge’],ENT_QUOTES) : “”;

7. SQLInjection $name_bad=addslashes($name_bad); // a good user's name$name = "timmy"; $query = "SELECT * FROM customers WHERE username = '$name'”;echo "Normal: " . $query . "<br />”;// user input that uses SQL Injection$name_bad = "' OR 1'"; // not a very safe one$query_bad = "SELECT * FROM customers WHERE username = '$name_bad'”; SELECT * FROM customers WHERE username = '' OR 1'' SELECT * FROM customers WHERE username = 'apos; OR 1apos;'

8. MyTextSanitizer class for HTML $myts =& MyTextSanitizer::getInstance(); GETやPOSTで取得した文字列(VARCHAR型)をHTML上に表示したい ⇒makeTboxData4Preview()GETやPOSTで取得した文字列(VARCHAR型)をHTMLのテキストフォーム内に表示したい ⇒makeTboxData4PreviewInForm()GETやPOSTで取得した文字列(TEXT型)をHTML上に表示したい ⇒makeTareaData4Preview()GETやPOSTで取得した文字列(TEXT型)をHTMLのテキストフォーム内に表示したい ⇒makeTareaData4PreviewInForm()

9. MyTextSanitizer class for DB GETやPOSTで取得した文字列(VARCHAR型)をDBに格納したい ⇒makeTboxData4Save()DBから取得した文字列(VARCHAR型)をHTML上に表示したい ⇒makeTboxData4Show()DBから取得した文字列(VARCHAR型)をHTMLのテキストフォーム内に表示したい ⇒makeTboxData4Edit()GETやPOSTで取得した文字列(TEXT型)をDBに格納したい ⇒makeTareaData4Save()DBから取得した文字列(TEXT型)をHTML上に表示したい ⇒makeTareaData4Show()DBから取得した文字列(TEXT型)をHTMLのテキストフォーム内に表示したい ⇒makeTareaData4Edit()