最低限知っておくべきwebサイトのセキュリティ - zenpouの日記
Webサイトを構築する上で新人向けの説明用に必要な前提知識をまとめる。 以前同じタイトルで書いた事があるけど、今回はもっと初歩から解説します。 普通のセキュリティといえば、ドアの戸締りとかガスの元栓を締めたりする事ですが Webサイトのセキュリティといえば、Webサイトのサービスを災害から守ったり、 悪意のある利用者からの不正な利用や、誤操作によるデータの破壊や流出等から 守る事です。 Webサービスでは以下の様な箇所のセキュリティを意識する必要があります。 Webサイトのアプリケーション アプリケーションを設置しているサーバ サーバを設置している場所 サーバをネットワークに接続するインフラ環境 サーバやアプリケーションを保守する管理者の端末 利用者のブラウザ 今回は、Webサービスについて主に解説しますので、それ以外の項目について先に簡単に説明します。 アプリケーションを設置しているサー
最低限知っておくべきwebサイトのセキュリティ - zenpouの日記
というわけで、思いつく奴をさらさらっと書いてみる パラメータを信頼するな。ユーザー側の情報はすべてユーザーが書き換え可能。 アプリケーションを作る時にgetリクエストの場合、URLの後ろに?nantoka_id=10&kantoka=5とか つく事がありますが、これはurlの中身を書き換える事で簡単にパラメータの変更ができます。 postだって、htmlのフォームの内容を書き換えれば、簡単にパラメータの変更が出来ます。 簡単に言うと、user_idを弄る事で他のユーザーの情報にアクセス出来てしまうとかが想定されます。 セッション情報と付き合わせる事やプログラムごとにログインユーザーの権限を確認する。 idを連番ではなく推測されない十分な長さのランダムな文字列に変えるなど、対応しましょう。 ユーザーが入力した内容を表示する際、フィルタリングするべし。 掲示板などでユーザーが入力したhtmlを
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
