コミュ障だから明日が僕らをよんだって返事もろくにしなかった

何かを創る人に憧れたからブログをはじめたんだと思うよ

「一生食っていける技術を教えて」とか聞いちゃう恥知らずの初心者が"Webセキュリティ入門"をやってみた

ファビュラ・ウェブ・セクーラ をやるぞ

はい、おはようございます。「一生食っていける技術を教えて」とか聞いちゃう恥知らずのWeb初心者です。本日は僕がリスペクトしているサービスで最近はやりのWebセキュリティ講座があったのでやってみました。

事前準備にPHP知識が必要だそうです。僕はPHPとかよくわかんないですが、式の前に「@*1」をつけると抑圧された力を解放しあらゆる事象に対し最強になれるとのことは知ってます。つまりそれだけ覚えればいいわけですね。


はい、いいかげんなこといってますがWebセキュリティ講座を……。
f:id:andron:20190808095127p:plain
完了しました。

主な内容は以下インジェクション攻撃についてです。読み物で終わりなのかと思ってましたがソース書いて実際に試せる演習もついているようです。


SQLインジェクションエスクェルアインシュライゾン

SQLインジェクション(英: SQL Injection)とは、アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のこと。また、その攻撃を可能とする脆弱性のことである。

対策としてはバインドしろとか…。ただ僕生SQLソースの中に書きたくない……。SQLiteみたいにアプリケーション側でデータベース担保しちゃうのは生SQLごりごり書いちゃうかもしれないけど…………。

対策参考
https://www.php.net/manual/ja/pdostatement.bindvalue.php



XSSウェブサイトゥンウヴァグライフェンスクリプティン

クロスサイトスクリプティング(英: cross site scripting)とは、Webアプリケーションの脆弱性[1]もしくはそれを利用した攻撃。脆弱性をツリー型に分類するCWEではXSSを不適切な入力確認(CWE-20)によるインジェクション(CWE-74)のひとつとして分類している(CWE-79)。略称はXSS。かつてはCSSという略称も使われていたが、Cascading Style Sheetsと紛らわしいのでこの略称はあまり使われなくなった。

僕の知っている事例では湘南乃風睡蓮花歌詞でっかくなるXSSとかです。対策としてはHTML用特殊文字をなんとかする便利関数使えとかだそうです。

対策参考
https://www.php.net/manual/ja/function.htmlspecialchars.php



どうでもいい話なんですけど、ここのサイトの演習問題テストケース丸見えなんですよね。問題があれなのもあいまってあんまり演習問題を終了した気にならない……。


完走した感想

今回のボイスはいま何かと話題のまれいたそでした。気づいたらやってみた記事の内容が痛い感じになってしまった。キャラ設定とか下のやつ意識してるんですかね……?



中二病でもエンジニアになりたい

*1:エラー制御演算子