IKA Webセキュリティ勉強会 参加記録・メモ

テーマ:Webセキュリティ

キーワード:サニタイズ,脆弱性,Webアプリケーション,インジェクション,エスケープ処理


メモ:

読んどいたほうがよさそうな本とかサイト:

PHPのことあまり知らなかったけど、送信時にスクリプト送り込まれてパスワード取られちゃう方法を実演してくれたので、どこら辺がマズいのかなんとなくわかった。
でもすっきりしないので本とか読んだほうが良いな。

そういえば前に面白いサービスに遭遇したの思い出した。
PHPで書かれてたクーポンサイトがあって、空メール送って会員登録したらクーポンが表示されるURLが送信されてくるってサービスなんだけど、他の携帯からその送られてきたURL丸々打ち込んだら、同じクーポンが表示されちゃったというお話。
大都会の結構有名なチェーン店のクーポンでこうなのか…ってちょっとびっくりした。
こういうところから個人情報とられちゃったりという問題に発展するのかなぁーと。

今日の勉強会で、「最近は脆弱性を防いでくれるライブラリがあるからあまりセキュリティについて意識しないでコード書きがちだけど、リリース前にしつこく見直さないと駄目」って話も出てた。
今、私もRailsの認証機能を使ったちょっとしたサイトつくってるけど、どうしてそうなるのかってことをしっかり理解しておかないとアタック受けたとき対策取れないなぁと。そして、そこの仕組みをあまり理解していない自分がいるってこと。
いや、無知って怖いですね。勉強せねば。


ちなみに、次回の勉強会は年明けて1月の中頃に行うそうだ。
勉強会でやって欲しい内容とか自由にリクエストできるみたいなので、わからないことリスト作ってリクエストしてみようかな。