フレームワークに見る Web セキュリティ対策 - Qiita
セキュキャン 2015 高レイヤートラック(Jxck) 本資料は、セキュキャン 2015 高レイヤートラックの講義資料です。 セキュキャン参加者であるセキュリティエンジニアの卵を対象に、 Web のセキュリティの知見が、実際どのように Web アプリ開発に反映されているか、もしくはどう反映すべきかを、フレームワークの視点から解説することを目的としています。 将来、 Web のセキュリティに興味を持ったエンジニアが、その知見を多くの開発者に啓蒙する手段として、フレームワークに反映するというのは非常に有効な方法です。 ここではその実例として Rails を例にとり、 Rails がこれまでに積み上げてきたセキュリティに関する知見を振り返るとともに、フレームワークとしてそれをどう取り入れているかを解説します。 Intro Web アプリケーションを開発する場合、 Web アプリケーションフレーム
潜むセキュリティ問題を事前に暴きだす·Rails Brakeman MOONGIFT
Rails BrakemanはRailsアプリケーションのリポジトリを読み込んでセキュリティチェックしてくれるサービスです。 セキュアなプログラミングをするためのノウハウは幾つかあります。つまりそれに沿って現状のコードを確認すれば、万一のセキュリティインシデントを未然に防げるかも知れません。Railsアプリケーションについてそれを行うのがRails Brakemanです。 プロジェクト詳細。こうやって一覧で確認できます。 セキュリティウォーニング、モデル、ビューのセキュリティウォーニングが出ています。 クロスサイトスクリプティング関係のウォーニングが多いです。 クリックするとどの行における警告か確認できます。 Rails Brakemanでは盲目的にパラメータを放り込んだり、その結果をそのままリダイレクトに使ったりすることを禁じています。なおこのチェックはバグを発見している訳ではなく、セキ
Webアプリケーションセキュリティフォーラム - Journal InTime(2007-07-05)
_ Webアプリケーションセキュリティフォーラム というわけで、発表して来た。 スライド(PDF) スライド原稿(RD) 自分の発表はともかく興味深い話を色々聞けてよかった。 とくに奥さんと高木先生のバトルが面白かった。 追記: リクエストがあったのでバトルの内容について少し。 (曖昧な記憶に基づく再現で言い回しは違うと思うし、内容にも私の勘違いがあるかもしれません。念のため) 高木先生 Greasemonkeyの説明の部分がよく聞こえなかったんですが。 奥さん (内容を説明) 高木先生 ええと、「クッキーが漏洩する程度なので問題ない」と聞こえたような気がしたんですが。 私の心の声 (最初から聞こえてたんじゃ…) 奥さん ローカルファイルにアクセスできたり、任意のコマンドを実行されたりするのに比べれば、ということですね。 高木先生 いや、それは違うと思うんですよ。銀行サイトのクッキーが漏洩
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
