最近GCP、それもGAEでサイト構築することが増えてきたので、 GCPのセキュリティについて理解が浅いところを少し調べてみたことをメモしておく。乱暴に言うと、ある程度はデフォルトで考慮はされてるけど、完璧ではない。 そもそもセキュリティに完璧はないの…

WEBサイトをつくってると脆弱性のチェックやコードのチェックなどやらないといけないことが沢山ある。 とてもじゃないが手を動かしてチェックなんてしてる暇はないので下記にあげたツールを使うことはむしろ必須といえる。なぜこんな記事を書くかというと、…

代表的な攻撃 SQLインジェクション DBに対して外部から任意の操作を許してしまう問題。select * from users where email='a@example.com' and pass='pass01' limit 1; に対してフォームから email : a@example.com pass : pass01' OR 1=1 (最後に半角スペー…

あれ？ 画像の格納ファイルがないぞ？なんてことありますよね。そう、そんなときはハッキングされている可能性があります。そんな時のためにこれ！ ファイル改ざん検知システム（AIDE） ファイル改ざん検知システム（AIDE）を構築してみる – CLARA ONLINE te…

今まで知らなかったが、下記サイトは有名らしく。自分が作ったサイトのチェックなどに有効。http://toolbar.netcraft.com/site_report?url= 使い方 １、URLを入力２、ボタン押す 以上 spfとかsslとかも判定してくれるみたい。何か問題があると該当の箇所が赤…

まなんだことその１ 「セキュリティ、攻撃方法とその対策について①」 （基本）・バリデーションチェック ： 入力された値が正しいか確認を行い処理を継続するかチェックする・エラーメッセージからの情報漏えい ： 入力の誤りについて詳細なエラー内容を表示…

自分が本を読んで学んだことをまとめた② 「セキュリティ、攻撃方法とその対策について②」 ①SQLインジェクションデータベース操作のクエリを改ざんし、データを不正に取得したり改ざんする攻撃。【対策】：プリペアドステートメントを利用→事前にSQL文の雛型…

HTTPヘッダインジェクション（HTTPレスポンス分割攻撃） ブラウザに対して不正なHTTPレスポンスヘッダを送りつけること。 任意のURLにリダイレクトさせたり不正なクッキーをセットさせたりする攻撃方法。 ※ただしPHP側で4.4.2、5.1.2で対応済み。つまり古いP…

このコード、公開はダメ絶対！ 自分のローカル環境で実行して下記をURLにつけるとリダイレクトされるよ。 ※chromeだとブラウザが自動で無効化してるみたいなのでIEとかで。 ?username=%3cscript%3ewindow%2elocation%2ehref%3d%22http%3a%2f%2fgihyo%2ejp%2f…

下記は危険なコードなので絶対に公開しないように！ URL末尾に?id=2をつけると攻撃されたと表示。 対策：htmlspecialchars() '1件目の投稿です。特に問題ありません。', 2 => '2件目の投稿です。<script>alert("攻撃をうけた");</script>', ); if(isset($post_data[$id])===t…

なぜセキュリティなのか。 例えば 弱いサイト作る→悪人がサイト改ざん→閲覧→勝手にリダイレクトされて攻撃される。 結果 損害賠償なんてことも。 ■基礎知識 妥当性チェック（バリデーション） →想定外の値が渡されたら処理中断、エラー表示をさせる。 例 必…