会員登録すると
学習することができます。
会員登録する(無料)
登録済みの方はこちら
ログイン

インジェクションとCSRF

目安学習時間 15分

課題

全問正解でレクチャー完了です。

【問題1】

入力バリデーションについて正しいものはどれ?

[選択肢]

【問題2】

SQLインジェクションを防ぐ実装はどれ?

[選択肢]
会員登録すると
学習することができます。
会員登録する(無料)
登録済みの方はこちら
ログイン

学ぶ目的

SQLインジェクション ― 復習と対策

データベース講座で入り口を見た攻撃です。入力をSQL文へ文字列連結すると起きます。 ORM(RailsのActiveRecord等)を普通に使っていれば基本は安全ですが、生SQLを書くときのプレースホルダは絶対です。

CSRF ― 意図しない操作をさせられる

CSRF(クロスサイトリクエストフォージェリ)は、ログイン中のユーザーに罠サイトから本人の意図しないリクエストを送らせる攻撃です。 対策はCSRFトークン——正規のフォームにだけ埋め込まれた合言葉を必須にすることです。罠サイトはこの合言葉を知らないため、リクエストが弾かれます。

バリデーション ― 入り口で疑う

攻撃対策に共通するのが、入力のバリデーション(検証)です。 形式を確認: メールはメール形式か、数値は数値か、長さは妥当か サーバー側で必ず検証: ブラウザ側のチェックは利便性のため。攻撃者はブラウザを使わず直接リクエストを送れるため、サーバー側の検証だけが本物の防御

このレクチャーで学ぶこと

  • SQLインジェクションの対策
  • CSRFの仕組みと対策
  • 「入力を信用しない」の実践

質問

まだ質問は投稿されていません。

質問投稿

ログイン後に質問の投稿ができます。