web-dev-qa-db-ja.com

base64エンコード/デコードのセキュリティ問題は何ですか?

http://phptester.net/ は警告を出します

警告base64_decode()はセキュリティ上の理由で無効になっています

どうして?

base64_decodeとは何の関係もない明らかな脆弱性に加えて(暗号化として、ハッシュとして、base64_decodedデータの評価など)なぜそれを実行するだけがセキュリティの脆弱性になるのですか?

25
powersupply

なぜそれを実行するだけでセキュリティの脆弱性になるのですか?

そうではありません。

base64_decodeは、期待どおりに動作します。文字列をデコードします。

また、既知の脆弱性はなく、過去にもありませんでした(base64_encode-CVE-2003-0861に整数オーバーフローの問題がありましたが、PHPは考慮していませんセキュリティ上の問題です)。

http://phptester.net/ はデータを難読化するために使用できるため、禁止されていると思います。彼らは危険なコードの実行を防ぐためにいくつかのフィルターを配置しているかもしれません、そしてbase64_decodeがこれらのフィルターを迂回するために使われるかもしれないことを心配するかもしれません。これは必要でも有用でもないと思いますが、それは彼らの考えの列かもしれません。

26
tim