安全で便利な Webhook を作る
安全で便利な Webhook を作る Tweet Webhook をご存知でしょうか。GitHub やその他のサービスで提供されているあの機能です。 今回は弊社の Komoju API で Webhook を提供する際に気づいた、webhook 実装上の注意点について書きます。 内部のサーバーへのアクセスを禁止する 一般的な Webhook はユーザーが送信先となる任意のURLを指定して、サービスはそこに対してPOSTリクエストを送信します。 このときに気をつけないといけないのは「そのURLがサービス内部のホストかどうか」を識別しなければならないということです。 たとえば localhost とか、内部 DNS のドメインとかです。このような宛先への Webhook 送信を許可してしまうと、本来は外部から隔離されてアクセスできないはずのサーバーに Webhook送信サーバー経由でアクセスで
APIフレームワーク「Swagger」に深刻な脆弱性、主要言語に影響
攻撃者が悪質な細工を施したSwagger文書を利用して、クライアントやサーバでリモートからコードを実行し、サービスシステムの定義に干渉できてしまう恐れがあるという。 セキュリティ企業のRapid7は6月22日、オープンソースのAPIフレームワーク「Swagger」に深刻な脆弱性が見つかったと報告した。NodeJS、PHP、Ruby、Javaなど主要言語向けのSwaggerコードジェネレータに脆弱性が存在すると指摘している。 Rapid7によると、脆弱性はSwaggerの一部のコードジェネレータで、悪質なSwagger定義文書の可能性が考慮されていないことに起因する。Swagger文書内のパラメータのチェックが不適切なために、攻撃者が悪質な細工を施したSwagger文書を利用して、クライアントやサーバでリモートのコードを実行し、サービスシステムの定義に干渉できてしまう恐れがあるという。 同社
Web API認証について
最近、Web APIの認証をどうすべきか考えている。 例えば次のようなケースをどうするか。 「既存のWebサイトがあり、既にユーザIDとパスワードによる認証によって、ブラウザでデータを提供している。 今回、この提供データをブラウザの画面ではなく、REST APIにて取得可能にしたい。 このデータはユーザ毎に取得可能な値が違うので、認証、または認可によって制限をかけたい。」 ユーザーがブラウザからIDとパスワード(以下ID/PW)を使ってログインする方式を、そのままWeb APIにも適用しても安全なのだろうか。 Web APIの先にはスマホアプリやシェルスクリプトなどから直接ログインするものなどが考えられるが、安全かつシンプルに実装するにはどうしたらいいのだろうか。 私はセキュリティの専門家ではないので間違った考え方をしている可能性もあるが、誰かの目に留まって助言いただけるかもしれないので、
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Loading...
ハッカソンでkintoneを使おう! – cybozu developer network
