目次 * 1 ひとこと感想 * 2 今日学んだこと * 2.1 オープンリダイレクト(リダイレクト処理での脆弱性) * 2.2 HTTPヘッダ・インジェクション ひとこと感想 今日学んだこと オープンリダイレクト(リダイレクト処理での脆弱性) 任意のドメインにリダイレクトできる脆弱性のこと。 ログインの遷移で別サイトを経由してログインとかされると気づかない。 URLに含ませるのが問題あり→番号にしたり、パラーメータで渡さず固定したり、リダイレクト先のドメインチェックしたりで防止できる！ 「外部のページ開きます」的なクッションページが存在するのはそのためなんですね。 HTTPヘッダ・インジェクション レスポンスヘッダで改行を許容していると起こる。HTTPヘッダを自分で作らないほうがいい！ 改行コードの解釈でHTTPヘッダの情報を上書き（厳密には複数あったら下の方を読む性質を利用）できる クッキー作ったり、JS作ったり、リダイレクトしたりできる 外部からのパラメータをHTTPレスポンスヘッダで出

目次 * 1 ひとこと感想 * 2 今日学んだこと * 2.1 クリックジャッキング * 2.2 セッションハイジャック・固定化 ひとこと感想 メールのリンク開くだけなら大丈夫でしょ。とか甘い認識でいました。アクセスするだけで色々情報抜かれる可能性もあることを知りました。 今日学んだこと クリックジャッキング CSRFに似てる。irfameとかcss使ったり、偽のボタンを利用者に押させるやつ。 これで掲示板に問題ある書き込みを他者にさせることができるというもの。Twitterなどは対策されている。 よく考えられているなと…もはや感服する世界です…… そしてこれはバグとかではないので、全てのサイトに当てはまります。 →対策は「X-Frame-Options」！ セッションハイジャック・固定化 セッション成りすましされてもパスワードはわからない→重要なページはパスワード要求する方式はそのため！（←GitHubとかでもあるやつ！) 推測されにくいセッション作るために言語に頼る！自分で作らない！

目次 * 1 一言感想 * 2 今日学んだこと * 2.1 1.CSRF(クロスサイトリクエストフォージェリ) 一言感想 フレームワークでやったこととセキュリティの知識が結びつきました。 今日学んだこと 1.CSRF(クロスサイトリクエストフォージェリ) Laravelのbladeだと@csrfするやつですね。 手法としてはXSSとすごく似てる気がします。 怪しいサイトにはアクセスしないが鉄則ですね…どこにiframeが仕込まれているか、気が抜けません… フォームのhiddenやセッションだけじゃなくて、画像アップロードの箇所からでも仕組まれる可能性あり。 なにより、利用者側が踏み台にされて、その人のIPとしてログが残るのが厄介ですね…実際にIPアドレスで誤認逮捕があったみたいです。 対策必要なのは一部のページでいい。他のサイトから実行されちゃダメなところのみ。（最後の購入とか…） →本物のサイトでトークンとか要求する←LaravelBladeの@csrfはこれだったのか……！

目次 * 1 事前環境 * 2 GitHubアカウントの作成 * 3 GitHubDesktopのダウンロード * 4 Gitが使える環境を整備 * 5 VSCodeにGithubの拡張機能をインストール * 5.1 Git History * 5.2 GitLens * 5.3 Git Graph 事前環境 下記の環境を前提に進めていきます。 とりあえずHTML&CSS&JSを触るための環境構築 GitHubアカウントの作成 https://github.co.jp/ こちらからアクセスしまして、サインアップを押します。 ここからは基本的に全て英語です。 ページの指示に従ってアカウントを作成してください。 GitHubDesktopのダウンロード GitHubをGUIに操作するためのソフトウェアです。本来ならgit pullとかコマンド操作しなきゃいけないんですが、それをせずにgitを扱うことができます。 https:/

セキュリティ週間1日目！ 目次 * 1 ひとこと感想 * 2 今日学んだこと * 2.1 1.バリデーションの重要性 * 2.2 2.XSS(クロスサイトスクリプティング) * 3 セキュリティ週間前に学んだこと * 3.1 1.フォームの書き換え * 3.2 2.クッキーの問題 * 3.3 3.JSのセキュリティ * 3.4 4.CORS ひとこと感想 思った以上に身近に脆弱性が潜んでいることを知りました。 今日学んだこと 1.バリデーションの重要性 SQLインジェクションみたいなやつとか、内部で意図せぬスクリプトを実行される →特殊な記号を許可しなかったりすることが大事！つまりはバリデーション大事！ 2.XSS(クロスサイトスクリプティング) 動的にHTMLとか生成するときにコードミスってて起きるやつ。 irame+JSだけじゃなくてform改変もできて、それが公式のサイトURLで実行される脅威。 エスケープ処理で対応。

とりあえずHTML,CSS,JSをはじめて触るための環境構築です。 この環境構築だけではPHPやNodeは動きません！！ ブラウザ、デザインツール、コードエディタ(ちょっとだけ拡張機能)で行きます。 目次 * 1 【ブラウザ】GoogleChromeのダウンロード・インストール * 2 【デザインツール】Figmaのアカウント作成 * 3 【コードエディタ】VSCodeのダウンロード * 4 VSCodeのインストール * 5 VScode拡張機能の導入 * 5.1 日本語にする「Japanese Language Pack for Visual Studio Code」 * 5.2 全角スペースを可視化する「EvilInspector」 * 5.3 終わりのタグを付けてくれる「Auto Close Tag」 * 5.4 保存と同時に反映してくれる「Live Server」 * 6