セキュリティ週間2日目【備忘録】5/18
ひとこと感想
本業(大学とバイト)であまり時間を取れませんでした。とにかく続けることを目標にします。
ワクチン予約サイトの一件
Torでアクセスできるとか、SQLインジェクションできるとか、世間を騒がせています。セキュリティの知識って大事だなと改めて気付かされました。
予約サイトのフロント、この時代にBootstrap3で他style=で直書きもなかなかインパクトありましたが、あまり話題にはなっていません。
今日学んだこと
1.XSS応用
JSのエスケープルールは難しい!→脆弱性温床
JSの動的生成を避ける!→別のところで値生成して、JSで参照するとか、インラインJSONPで渡すとか
2.SQLインジェクション
狙ったかのようにホットなタイミング。
激ヤバな脆弱性。すべての情報抜かれる。
SQLのエラーメッセージにpassとid出てたり、UNION SELECTだったり、でやられる。
リテラルに注意。
→プレースホルダでSQL文を組み立てる!できれば静的プレースホルダで。