体系的に学ぶ 安全なWebアプリケーションの作り方を読んだメモ

XSS

• 悪意のあるサイトにリダイレクトして重要情報を入力させる
• スクリプトを埋め込んで重要情報をURLに引き継いで悪意のあるサイトに遷移する

対策

• エスケープする
• JSで文字列を動的に生成するときも注意。JSでエスケープするか、hidden要素などでHTML側でエスケープしておいた要素を使用する

SQLインジェクション

対策

• プレースホルダーを使用する
• Like検索ではワイルドカードをエスケープする
• 攻撃者に情報を与えないためにエラーメッセージを抑制する
• 攻撃の被害を抑えるためにデータベースの権限を最低限にする

CSRF

• 悪意のあるサイトにアクセス → ifameから正規のサイトへPOST → ログイン状態の場合セッションIDがつくのでPOSTできてしまう
• 確認画面があるようなサイトでもifameの数を増やし、時差でアクセスすることで攻撃可能
• 内部ネットワークでもルーターなどを管理者情報を持った端末が罠サイトを踏むとパスワードなど変更される恐れがある

対策

• 購入、変更など重要ページでは再度パスワードを入力してもらう -実行直前のページに攻撃者が予測できないトークを入れて実行画面で確かめる
• リファラーのチェック（自サイトからになっているか）

セッションハイジャック

• セッション情報をURLに埋め込んでいるとサイトから別サイトに遷移した時にリファラーで漏洩する

オープンリダイレクタ脆弱性

実装でリダイレクト先のURLを外部から指定できる場合に発生
- 罠サイトにリダイレクトされる
- 配布サイトでマルウェアを配布されるなど

対策

• リダイレクト先のドメインチェックをする
• クッションページを挟む(あなたは...にアクセスしようとしています)

メールヘッダーインジェクション

• webサイトのフォームなどから意図しない相手にメール送付される
• 本文を改ざんされる

対策

• 改行を含まないようにする
• 外部からのパラメーターを含ませない

ファイルダウンロードによるxss

• jsファイルをhtmlと認識させユーザーのブラウザーで実行させる

対策

• content typeを設定するなど