セキュリティ週間1日目【備忘録】5/17
セキュリティ週間1日目!
目次
ひとこと感想
思った以上に身近に脆弱性が潜んでいることを知りました。
今日学んだこと
1.バリデーションの重要性
SQLインジェクションみたいなやつとか、内部で意図せぬスクリプトを実行される
→特殊な記号を許可しなかったりすることが大事!つまりはバリデーション大事!
2.XSS(クロスサイトスクリプティング)
動的にHTMLとか生成するときにコードミスってて起きるやつ。
irame+JSだけじゃなくてform改変もできて、それが公式のサイトURLで実行される脅威。
エスケープ処理で対応。(要素には<と&をエスケープ、属性値には<と”と&をエスケープ。←PHPの関数で対処できる!)
接続型XSSと反射型XSSがある。
セキュリティ週間前に学んだこと
1.フォームの書き換え
ラジオボタンタイプやhiddenパラメータまで任意に書き換えできる。
パラメータ処理部分の脆弱性で狙われる!
プロキシツールで書き換えて、攻撃の可能性あり。
2.クッキーの問題
基本的に発行してないドメインでクッキーが送信されることはない。
Domain属性を設定するとそれが解除できてしまうので注意!
古いIEにはクッキーモンスターバグが現存。
3.JSのセキュリティ
サンドボックスになっていて、影響及ぼしにくいのがJS。
iframe経由でクッキー引っ張ってこられて情報抜かれる可能性あり。
4.CORS
Cross Origin Resource Sharingの略です。
シンプルなリクエスト送信はいいけど、他はだめ的な。
色々書くと制限緩和できる。