新着25記事の配列を取得する弁々。

2024.02.05

Logging

おはようございます、WPで新着25記事の配列を取得する方法は下記の通りになりますが、WP外から新着記事を取得するには、どうしたら良いですかという話を過去にも書いたかもですが改めて書こうと思います。RSSで取得する方法もありますが、それはナンセンスかと思います、外部サーバーからならその方法がベストかもしれないですが、自サイトでは、そんな事をしなくても良いです😌。

        // 新着25記事の配列を取得する
        $new_posts = get_posts([
            'post_status' => 'publish',
            'posts_per_page' => 25,
            'orderby' => 'date',
            'order' => 'desc',
        ]);

下記のファイルを呼び出せばWPの関数はだいたい使用可能になります。脆弱性のコードを書かない限り安全かと思います。このファイルはWordPressのディレクトリ直下にあります。このファイルを呼び出せば前述の通りWP関数を使用できるようになります。

wp-load.php

明日へ続く。

タグ

$new_posts, desc&#39, get_posts, orderby&#39, post_status, posts_per_page, publish&#39, WordPress, wp, wp-load.php, WP外, ディレクトリ直下, ナンセンス, ファイル, 前述, 外部サーバー, 脆弱性, 通りWP関数, 配列, 関数,

オニギリペイ🍙と歩む道。#闇の奥は深いぞ #笑えない話

2022.09.12

Logging

おはよう御座います🙇。脆弱性の動画(徳丸先生の動画を)をどんどん見ています。

昔、勤めていた会社にはイロイロと脆弱性があり、それが今でも残っている気がします。例えばこれは消えていると思いたいのですが、クレジット決済のログをサーバーに蓄積出来るようにしていました。

おしゃべりひろゆきメーカー 笑えない話をひろゆきAIに語ってもらった笑えない🤐。

これ本当はしたら駄目なんですけどね。やっちゃっているです、パーミッション対策や鍵かけているですけども元に返っていたら危ういですね、蓄積データは年々溜まっていきます。これを辞めたいと言ったのですが、また決済が失敗したら駄目だからという事で残った脆弱性です。これを辞めないと言ったのは社長ですから仕方がありません。

自分は社長に結構意見を言っていたので煙たい存在だったかも知れません。入社当時は役に立ちたいという思いがありましたが、段々と疑問を持ちはじめていきました。一番の信頼が薄れていったのは仕様を教えてくれなかった事にあります。どういう様に動作すれば正しいのか、それが分からない状態でリリースしてお客様からクレームが来たこともあります。

そういう日々の積み重ねが大きくなり、社長との関係が希薄になりシステムに影響していったように思えます、自分がもう少しニュアンスを変えて話していたら違っていたかもと猛省しています。

言葉遣いは大事ですよ。昔の職場に戻れるなら戻りたいですが、そうもいかないような分かれ方をしていますからね、無理ですね。システムからカート回りまで、今でも頭に入っているので自分なら1週間で全店舗のシステムを改修出来ますが、後任がどこまで出来るかは分からないです。

タグ

AI, いろいろ, おしゃべり, オニギリ, クレジット, これ, サーバー, それ, データ, パーミッション, ひろゆき, ペイ, メーカー, ログ, , , , 仕方, 会社, 信頼, , 先生, 入社, 動画, 失敗, , 存在, 対策, 当時, , 徳丸, 意見, , 本当, 段々, , 決済, 疑問, 社長, 脆弱性, 自分, 蓄積, , , , , 駄目,

若気の至り若気の過ちか?Mr.ROBOT🤖

2022.09.11

Logging

こんばんは、深夜便で東京に向かってます(嘘です)。

今日は緊急で動画廻してます(記事を書いています)。私が昔書いたコードに大きな脆弱性が合ったので、そのコードの穴だけ塞ぎました。まだ、色々な所に穴があるかもしれないですが・・・。

この脆弱性に関しては知っていたのですが、昔のコードをそのままにしていたのを失念していたのです、それが大きな過ち…。仕事では重大インシデントになりますね😱。

<?php
 function defence_xss($data=""){
    if(is_array($data)){
        foreach ($data as $key => $value) {
            $data[$key] = strip_tags($value);
            $data[$key] = htmlspecialchars($data[$key],ENT_QUOTES);
        }
    }else{
        $data = strip_tags($data);
        $data = htmlspecialchars($data,ENT_QUOTES);
    }
    return $data;
}

今回、塞いだのは初歩の脆弱性です、、、POSTやGETで送られるデータに悪意のあるコードなどを埋め込んでハッキングを行う手法です。またセッションジャックとかそういうのもありますので、気になる方は調べてみてください。

SQLインジェクション判決、オニギリペイ、これらをつなぐセミナーにかける思いを語る
徳丸浩のウェブセキュリティ講座

追記して書いときます。昔勤めていた会社でも何度か、この手の手法でハッキングに合いました。脆弱性が解消されているかは分かりません。XSS攻撃は防げても、これではSQLインジェクション攻撃は防げません、昔のコードで動いているとしたら修正箇所は無数にあるので一日では直せないでしょう。

昔勤めていた会社はShopifyへシステムを移行しているようですが、それが良いのかは分かりません、自分だったら物足りなさを感じると思います😌。

タグ

array, as, data, defence, foreach, function, gt, htmlspecialchars, if, is, key, lt, Mr, php, quot, ROBOT, strip, tags, value, xss, インシデント, コード, それ, 今日, 仕事, 動画, , 失念, , , 東京, 深夜便, , , 緊急, 脆弱性, 色々, 若気, 記事,

お気づきかと思いますが、サーバーを密かに変えました。(密かではないですけど。)

2022.01.08

Logging

お気づきかと思いますが、サーバーを密かに変えました。変えたのは年末あたりです、それから裏と表でサーバーをゴニョゴニョして何とか運用している感じです。変えた理由は経費削減ということが一番の理由ですね😌。

変えたことにより表示速度が若干早くなっているかのように思えます、サクラレンタルサーバーでは土台はnginx + Apache2.4系だったらしいので「.htaccess」が使用できていたのだと思いますが、現在、運用しているサーバーは nginxで動いております。 nginx上でApacheをどうやって動かせばよいのか、知見がないのでnginxだけ動いております。調べればやり方が書かれているサイトがあると思います。

Javaのログライブラリ Log4j に最恐の脆弱性発覚 | PHP 8.1 | AWSのQ&Aサービス re:Post | Figmaからコード生成 Amplify Studio

12月にlog4jという脆弱性が見つかった事により、ApacheやJAVAなどに影響を与えているようです、そんな事もあったので今回はApacheサーバーを避けてnginxで構築したわけです。IPを調べるとどこのサーバーを使用しているか分かると思いますが、敢えてどこのサーバーのどのプランを使用しているかの公表は控えさせてもらいます。

因みにサーバーが落ちてもメールサーバーは別サーバーを使用しているので影響はないようにしています。今回分かったことはクラウドと言われているサーバーは、クリック一つでいろいろ出来るようになっているけれども、それを使用すると別途お金が発生するように設計されていたりしてます。なので自分はそこらへんお金を使いたくないので手動で対応しています。

結局のところ、VPSでゴリゴリとサーバサイド知見がある人にはAWSやGCPというサービスはポチポチ押すだけで、サーバー構築できるけど、もったいないと思うだけなのかもしれません。AWSやGCPの良い所は可用性だなって思えます。そしてオンプレと違ってサーバーが落ちてもAWSやGCPの障害のせいに出来ることかもしれません。

強者になりたい今日このごろでした・・・現場からは以上です。

タグ

12, 2.4, 4, Apache, htaccess, java, log, nginx, こと, ゴニョゴニョ, サーバー, サイト, さくら, やり方, レンタル, , , , 今回, 使用, 削減, 土台, 年末, 影響, 感じ, 構築, 現在, 理由, 知見, 経費, 脆弱性, 若干, , 表示, , 速度, 運用,

お気をつけて。

2021.02.28

Logging

zip358で検索するとzip358.comが終了しましたというサイトが何件か表示されますが、それをクリックするとweb attackでブラウザの脆弱性よりパソコンに侵入しようとしますのでお気をつけてください。なので、zip358.comとアドレスバー(URLバー)に入力することを強くオススメします。

ちなみにzip358.comが閉鎖するとか考えていないし、アメーバブログとかに移行するつもりもないです。グーグルやyahoo検索でも普通のサイトが標的になるということがあるので、必ずパソコンにはウィルススキャンのソフトを導入することをおすすめします。例えばノートンというソフトやウィルスバスターとかですかね。自分が思うにノートンは結構優秀なソフトだと思います。

たまに自分の作ったexeソフトもウィルスと間違って削除されることもありますが・・・。

という事で、くれぐれもお気をつけてください。

タグ

358, attack, com, exe, url, web, Yahoo, zip, アドレス, アメーバ, ウィルス, ウィルスバスター, おすすめ, お気, グーグル, クリック, くれぐれ, こと, サイト, スキャン, ソフト, それ, たま, つもり, ノートン, バー, パソコン, ブラウザ, ブログ, , 何件, 侵入, 優秀, 入力, 削除, 導入, 普通, 検索, 標的, 移行, 終了, 脆弱性, 自分, 表示, 閉鎖,

Electronの脆弱性でアレをtrue設定はNGですよね。

2020.11.23

Logging

Electron(エレクトロン)でrequire(りくわいあ)というものを使用するとエラーになります。Electronの昔のバージョンはこれが使用できたんだって今はこれを脆弱性対策のため、OFF(false)にしている。その設定をtrueにするとOK何だけど、これは公式では認めてない不正解の書き方だとさ。

function createWindow() {
    mainWindow = new BrowserWindow({ width: 800, height: 600 , webPreferences: {
        nodeIntegration: true
	}});

じゃどうするれば良いのか?調べた結果、これが良いみたいです?。下記の書き方はちょっと面倒くさいけれども、こう書かなくては駄目だとさ。requireを使用しない場合はこんな感じで書かなくても良いです。

const path = require('path');
function createWindow() {
    mainWindow = new BrowserWindow({ width: 800, height: 600 , webPreferences: {
        nodeIntegration: false,
        contextIsolation: true,
        preload: path.join(__dirname, "preload.js")
	}});
const { contextBridge, ipcRenderer} = require("electron");
const request = require('request');//使ってないけど?


contextBridge.exposeInMainWorld(
    "hoge_hoge", {
        send: (data) => {
           consloe.log(data);
           document.getElementById("hoge").innerHtml = "Hey!! " + data;
           ipcRenderer.send("Hey!! " + data);
        },
        receive: (data) => {
                consloe.log(data);  
                //ipcRenderer.on(channel, (event, ...args) => func(...args));
        }
    }
);
<button id="btn">Hey!!</button>
<span id="hoge"></span>
<script>
	document.getElementById("btn").addEventListener("click",(e)=>{
		window.hoge_hoge.send("hogeO!!");
	});
</script>

タグ

600, 800, BrowserWindow, const, createWindow, Electron, false, function, Height, mainWindow, new, NG, nodeIntegration, off, OK, path, require, true, webPreferences, Width, アレ, エラー, エレクトロン, これ, ため, バージョン, もの, リグ, 下記, 不正解, , , 使用, 公式, 場合, 対策, 感じ, , 書き方, 結果, 脆弱性, 設定, 駄目,

HTTP1.0の場合、PHPファイルとか外部からダウンロード可能ってご存知ですか?

2017.08.02

Logging


HTTP1.0の場合、PHPファイルとか外部からダウンロード可能ってご存知ですか?
サーバー環境がそうなっていればPHPのファイルなんてあるツールを使用すれば
根こそぎダウンロードが可能なのです。
「怖や怖や・・・」
ネットの脆弱性とか、知らないひとが大半だと思います。
じぶんも知っている人からすれば知らない方に分類されると思いますが、
知れば知るほどネットをしたくなくなりますよね。
ネットは便利な半面・・・
脅威がいっぱいあるですってことだけは
日頃から認識していたほうが良いのかもしれないです。
脆弱性の対応の本などが出版されていますが
逆に言えば脆弱性を突く方法を教えているようなものですからね。
自分は今までそういう本は避けてきましたが
この頃、読み始めました・・自分の場合、こういう脆弱性が在るだと
言う事を知識として持っておくことは、何か起きた時に役に立ちますからね。
ちなみにchromeブラウザのアドレスバーに
chrome://net-internalsと入力するとサーバー環境がHTTPのバージョンが
何か分かったりします。
HTTP1.0の場合、PHPファイルとか簡単にダウンロード出来てしまうだろうけど
それはグレーなのかそうではないのかは自分は知らないですが
やらないことの方が賢明だと思います。

タグ

chromeブラウザ, HTTP1.0, net-internals, PHPファイル, Real World HTTP, アドレスバー, インターネット, ウェブ技術, ご存知, サーバー環境, じぶん, バージョン, 半面, 外部, , 根こそぎダウンロード, 脅威, 脆弱性,

明日、JSコードを書きます。

2017.06.09

Logging


明日、JSコードを書きます、そしてそのサンプルコードを
公開します。JSでもゴリゴリと書くと便利なんだよというところを
実感したいのですけど・・・・。
じぶん、JSはググる程度の知識しかなく、いままで
ゴリゴリ書いたことがないのですね、そんな自分がサンプルコードを
書いてみます。JSで何が出来るかと言えば動的なページが作れたり
するわけです。一昔前はFlashで行っていたことがFlashには
脆弱性があるとか何とか言われてJSにあれよあれよと取って代わり今では
JSサイトが殆どでFlashサイトなんて見かけなくなりました。
実際、FlashのActionScriptでコードを書いたほうが
簡単で書きやすいと思っているのですが、いまはJSが覇王です・・・。
だだ、あと数年もすればオブジェクト指向になっているでしょうと思いたい。
実際、そんな動きが出てきています。
 

タグ

ActionScript, B01AZ5A9H8, Flash, Flashサイト, JSコード, JSサイト, オブジェクト指向, サンプルコード, じぶん, フロントエンドエンジニア, ページ, 動き, 実際, 必須知識, 殆ど, 脆弱性, 覇王,

監視される社会になるのか。IOTと人工知能

2016.11.04

Logging


IOTとはモノをインターネットに繋ぐ技術です。
例:WEBカメラ、IP電話
そういう物がネットに繋がった状態になってきています。
そして今、IOTの脆弱性を突き、ハックされたIOTがサーバー攻撃に
使われたりする世の中になりつつあります。
ネットを介してWEBカメラやIP電話と言ったもの傍受することが
可能だということです。そこに人工知能と言うものを
用いれば、生活を監視する事さえ可能になるのかと
思います。国がIOTのバックドアを作り
人工知能の技術を使い、国民を監視するという事も
可能になるかと思います。
おそらくアメリカや中国は、国の検閲に
こういう技術を使用できるレベルに有るのではないかと
思っています。
映画の話が・・・・もう映画では収まらない
世の中になってきています。
このまま行けば、窮屈な社会になるじゃないかなと
思います。それは日本も例外ではないと思っています。

タグ

B00DACMNOQ, Blu-ray, IoT, IP電話, WEBカメラ, イーグル・アイ, インターネット, サーバー攻撃, スノーデン, バックドア, ファイル, 世の中, 人工知能, 技術, 検閲, 社会, 脆弱性,