2012年2月29日水曜日

[お勉強]ぴよぴよセキュアWebアプリ制作(3)

さて続き続き!

今日は勉強会してきた。眠いけどがんばるよ!!

◇セキュアWEBサイトにするために
☆情報、昨日の提供先は「可能な限り、狭く、限定する」

情報を限り、使える人を限り、操作を限り、できるだけなにもさせない。

そういえばサーバ構築の基本は
「できるだけなにもいれない。可能な限り不要なユーザはつくらない。
ユーザ権限はできるだけあたえない。
便利だからってなんでもいれたりとかしない!!!」
って最初に教わったけど、おなじようなものですね。

◇根本的対策と保険的対策
セキュリティホールに対する対策には


  • 根本的対策
  • 保険的対策


がある。

根本的対策は
そもそも被害がおきないようにするためのもの
☆☆重要
対策としては「技術の仕様にそった正しい実装をする、しかない

☆☆根本的対策の例
HTML本文に入力値を出力する場合、かならずエスケープ表記にしてサニタイジングを行う=XSSの根本的対策
これはHTMLの仕様としてかならずそう書くように定められているから行うもの。
(参考)
@IT: クロスサイトスクリプティング対策の基本
http://www.atmarkit.co.jp/fsecurity/special/34xss/xss01.html

☆☆重要
HTMLタグのエスケープ表記
<&lt;
>&gt;
"&quot;
&&amp;
'&#039;

※HTMLのエスケープ表記は
&なんちゃら;で表記する

※覚え方
   左が大きい:>
   「&gt;」の「gt」は「greater than」
右が大きい:<
「&lt;」の「lt」は「less than」
A less/greater than B
    A > B  = A greater than B
    A < B A less than B
   左のほうが大きい場合(>)場合、gt
   左の方がちいさい(<)場合、lt 
 
シングルクオートの 039は語呂合わせしかなさそうなので
0を「ム」とよんでムサクに覚えるシングルクオートぐらいでおぼえておくよ!


保険的対策は
特定のパターンに対してBracklist的に対策をとるもの。

根本的対策が不十分だった場合や、正しく機能しなかった場合、
あたらしい攻撃手法ができた場合などに役に立つ。
ひとつの根本的対策を行うだけではなく、
可能な保険的対策を多重に行っておくことで
攻撃をされにくく、攻撃された際の被害を小さくできる。



0 件のコメント:

コメントを投稿