情報リスク管理(Webアプリケーションへの脅威)
WebがwebではなくWebなのが気になる, webはもはや固有名詞ではないので小文字にするのが今の私のポリシーなので. 「Internet」と「Web」が終了 – Dan高橋のIT散歩
TwitterのXSS懐かしいですね. XSS対策としてはCSPがかなり有効なんですが, 広告を配信してるとなかなかCSPを使えないのが困りものですね…
そもそもフレームワークがCSPを考慮してくれないことも多い.
webアプリケーションの脆弱性突いたら不正アクセス禁止法に接触する恐れあるの本当にアレですよね. webアプリケーションの脆弱性なんて実際に試してみないとわからないのに. 実害が無ければ罪に問わないことを明確にして欲しい.
SQLインジェクション, 静的プレースホルダさえ使っていればほぼ対策できるのになんで皆使わないんでしょうね…
XSSとかCSRFも問題ですが,
ユーザーからの入力を信用してはいけない場所でユーザの入力をそのまま使っているアプリケーションどうにかならないんですかね.
要するにuser_id
をユーザから受け取っているサイトとか.
信じられないかもしれませんが,
Ruby on Railsを触り始めた周りの学生はみんなそんなことをしています.
バリデーションとか以前に,
それは入力を受け取ってはいけないでしょと思うんですが…
IPAに届け出た某webアプリケーションの脆弱性は,
取扱い番号IPA#29970048
として届出として受理いたしました
と2017年10月12日 15:13に返信が来たんですが,
それ以降音沙汰がないですね…
IPAに届け出をしても無駄でしたか…
JavaScriptをジャバと略す人初めて見ました.
ほぼ1人でプログラミングしてるからアジャイルとか意識してなかったですが, issueで単一の問題を話し合って, pull requestをmergeして即座にdeployしてるこの状況はアジャイル型開発なのかな.
人が脆弱性の話をしているとつい適当なwebアプリケーションの脆弱性を調べに行ってしまいます. 今回は見つかりませんでした.