会員登録すると
学習することができます。
会員登録する(無料)
学習することができます。
登録済みの方はこちら
ログイン
学ぶ目的
SQLインジェクション ― 復習と対策
データベース講座で入り口を見た攻撃です。入力をSQL文へ文字列連結すると起きます。 ORM(RailsのActiveRecord等)を普通に使っていれば基本は安全ですが、生SQLを書くときのプレースホルダは絶対です。
CSRF ― 意図しない操作をさせられる
CSRF(クロスサイトリクエストフォージェリ)は、ログイン中のユーザーに罠サイトから本人の意図しないリクエストを送らせる攻撃です。 対策はCSRFトークン——正規のフォームにだけ埋め込まれた合言葉を必須にすることです。罠サイトはこの合言葉を知らないため、リクエストが弾かれます。
バリデーション ― 入り口で疑う
攻撃対策に共通するのが、入力のバリデーション(検証)です。 形式を確認: メールはメール形式か、数値は数値か、長さは妥当か サーバー側で必ず検証: ブラウザ側のチェックは利便性のため。攻撃者はブラウザを使わず直接リクエストを送れるため、サーバー側の検証だけが本物の防御
このレクチャーで学ぶこと
- SQLインジェクションの対策
- CSRFの仕組みと対策
- 「入力を信用しない」の実践
質問
まだ質問は投稿されていません。
質問投稿
ログイン後に質問の投稿ができます。