Railsのセキュリティについて勉強した時のメモです。

セッションハイジャック

セッションハイジャックとは？

セキュリティに問題のあるネットワークを使用するとCookieの内容を盗み取られる可能性がある。
Cookieの中にセキュリティIDがあるのでそれを奪われると代わりにログインされてしまうこと。

対策

Railsにはconfig/environments/production.rbに

config.force_ssl = true

というオプションがありこれを追加することでssl通信(セキュリティ的に安全な通信)しか受け付けないようにできる。

CSRF

CSRFとは？

Cross Site Request Forgeriesと言い、攻撃者が他人のサイトにコードを埋め込むことでユーザーが操作した際に意図しない挙動を生み出す攻撃のこと。
例えば、ECサイトで戻るボタンが購入ボタンになっていて、戻るを押すと決済されていたみたいな感じ。

対策

post,put,deleteなどのデータに変更を加えるものは、tokenと一緒にリクエストしないといけないようにする。
Railsにはapp/views/layouts/application.html.erbに

  <%= csrf_meta_tags %>

という記述があり、ここでtoken（鍵のようなもの）が生成されるのでこれを取得してリクエストを送れば対策できる。

SQLインジェクション

SQLインジェクションとは？

SQLを操作するパラメーターなどを送ることでデータベースを操作して攻撃をする手法。
データベースを操作されるので場合によっては全てのデータを削除したり取り出されてしまう恐れがある。
具体的には、

User.where("name = '{params[:name]}'")

のようにwhereにハッシュではなく文字列を渡した場合、

params[:name]に' OR 1 --のように送られてきた場合

SELECT * FROM user WHERE name = " OR 1 --'

という全てのデータを取得するクエリが発行されるらしい‥ やばすぎ‥

対策

ユーザーから送られてくる値を直接使ってSQLのクエリを作らない。
find、find_by、where(name:params['name'])など限定的なメソッドを使う。
Rails、Rubyっぽい書き方をする。

XSS

XSSとは？

Cross Site Scriptingと言い、コード付きのリンクなどを攻撃者が掲示板などに書き込み、そのリンクを踏んだユーザーに対して不正なプログラムを実行する手法。
ユーザー投稿型サービスではユーザーが投稿した内容をそのまま表示するので、ユーザーが投稿した内容にコードが含まれていた場合、投稿内容をクリックなどした人がプログラムを実行してしまう。

対策

投稿時にコードを入力してもコードではなく文字列として表示するようにする。
例えば以下のようにjQueryでコメントした内容を追加する処理の場合、
pタグに${comment.content}のように書くとコメントにコードを書いた場合そのままコードが反映されプログラムが実行される恐れがある。

const appendNewComment = (comment) => {
  $('.comments-container').append(
    `<div class="article_comment"><p>${comment.content}</p></div>`
  )
}

escapeを使うことでコードではなく文字列に変換してくれるので対策できる。

const appendNewComment = (comment) => {
  $('.comments-container').append(
    `<div class="article_comment"><p>${escape(comment.content)}</p></div>`
  )
}