こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上です。セキュリティ・キャンプ卒業後、新卒入社組としてFlatt Securityでセキュリティエンジニアをしています。 本稿では、BtoCのWebサービスにおいてマーケティング施策として頻繁に発行される「クーポンコード」及び「クーポン機能」のセキュリティ観点について考えたいと思います。様々なサービスが題材として考えられますが、今回はECサイトなどを例に解説していきます。 クーポン機能は割引やポイントの付与など直接的に金銭的な影響に繋がりますが、Googleなどで検索してみると分かる通りどのような対策をすれば良いのかという情報はほとんど知られていません。そこで今回は、クーポン機能を設計・実装する上でSQL Injectionなどの典型的な脆弱性以外でどのような点に気をつければ良いのかについて解説を行います。 Flat

日本の理系がおかれている研究環境がやばい。これは当事者の困っている人々ではなく、外部の有識者でもなく、隣人たる文系博士予備軍からの心からの叫びである。 自分はこの春、国から月15万の生活費と年間数十万の研究費を支給された文系後期博士課程である。 (ここから次の()までは心の赴くまま書いた日記なので読まなくて問題ない。) 恥ずかしながら研究費というものを貰うのは初めてなので、あの専門書買っちゃおうかな、アドビ―サブスク契約は規約的に大丈夫だろうか？などとウキウキであった。当初に申請した金は二万弱。大学が募集期間を10日間しかもうけてくれない異常事態だったので、必死で捻りだしたいま必要な専門書を買う為のお金である。担当教授にはもっと交通費とか機材代とか申請すればよかったのにと言われたが、必須でないものを買うのは気が引けたし、正直通るとは思っていなかったのもあった設定であった。 運よく選考を通過