どんなの？ ユーザが投稿するフォームでJavaScriptを許してしまっている時に悪意あるJavaScriptのコードを仕込まれると、JavaScriptが実行されてしまう JavaScriptにより、Cookieを攻撃者サイトに通知されて、セッション idを盗聴される。といったことが発生する 対策 ユーザが投稿するフォームでJavaScriptやタグの受付を拒否するようにする …

  どんなの？ 「\0」「\x00」「%00」といった文字列の終わりを意味する制御文字を与えることで、セキュリティチェックをくぐり抜けるというもの ディレクトリトラバーサルと併用される     対策 アップデートする PHP5.3.4以上なら対策されているので問題ない。   Amazonおすすめ iPad 9世代 2021年最新作 iPad 9世代出たから買い替え。安 …

  どんなの？ JavaScriptにより、Cookieの中のセッション idを攻撃者のサイトに送信させることで、セッション idを取得し、攻撃者がユーザアカウントをハイジャックできるようになる。     対策 アプリ内に外部からJavaScriptを混入させないようにする   Amazonおすすめ iPad 9世代 2021年最新作 iPad 9世代出たから買い替え …

  どんなの？ パスパラメータやパラメータから得られた情報で、サーバ内ファイルを参照するプログラムを実装している場合に   ../../etc/passwd などでWEBアプリの公開ディレクトリを遡られてしまい、機密ファイルにアクセスされたり、ファイルを混入されたりする   対策 パスパラメータなど外部からの値で、サーバ内ファイルを参照させる実装を行わない   &nb …

どんなの？ 外部のリクエストやパラメータの情報から、WEBアプリでOSコマンドに値を渡されることで意図しない操作をされてしまう 対策 外部のリクエストやパラメータの情報から、WEBアプリでOSコマンドに値を渡さない OSコマンドをWEBアプリ内で利用しない Amazonおすすめ iPad 9世代 2021年最新作 iPad 9世代出たから買い替え。安いぞ！🐱 初めてならiPad。Kindleを外で …

  悪意あるリクエストにより、メモリ領域から溢れてメモリを上書きされて意図しないコードを実行してしまう   どうなる？ 意図しないサービス停止 ウィルスの感染。バックドアの仕込まれ 対策 メモリを直接扱う言語で開発しない…というのも手🐱 C, C++, アセンブリなど。Go言語はバッファオーバーフローに利用される複雑なところは弄らせないのでので脆弱ではない、とのこと。 &nb …

  iframeで別サイトに表示されてしまうことで、自社アプリのログインユーザが意図しない操作をさせてしまう。   対策 X-Frame-Options DENY すべてのウェブページにおいてフレーム内の表示を禁止 SAMEORIGIN 同一オリジンのウェブページのみフレーム内の表示を許可 ALLOW-FROM 指定したオリジンのウェブページのみフレーム内の表示を許可   ht …

    Line bot https://www.linebiz.com/jp/service/line-official-account/   YouTube Data API https://developers.google.com/youtube/v3/docs?hl=ja   構成 インフラ Terraform GitLab, Code Deplo …