Webアプリケーションの脆弱性について学んできた

Pocket

2016/7/25(月)、Webアプリケーションの脆弱性について学んできた。イベントの詳細はこちら。
企業のWeb担当者の疑問を一刀両断!~『徳丸浩のWebセキュリティ教室』から学ぶ夜(第2回)~
img_2119.jpg
講師は言わずと知れたHASHコンサルティング株式会社の徳丸浩先生。
以下セミナーの概要と考えたこと。

1.SQLインジェクション対策もれの責任を開発会社に問う判決の解説

大まかな内容は徳丸先生のブログのこの記事を参照。
記事にも書かれているとおり、開発会社は人命に関わる建築や医療と同じように十分な専門性を持つべきだ、というのが一般的な認識になっているのかも知れない。

2.SQLインジェクション攻撃でカード番号を窃取してみよう

IMG_2120
徳丸先生がカスタマイズしたEC-CUBEやPHPアプリでデモをしてくれた。目の当たりにすると怖いね。

3.開発者が注意すること

OSや言語・フレームワークのサポートサイクルポリシーに注意すること。
Windows XPのセキュリティサポートが切れる際にも大騒ぎになったのは記憶に新しいところだ。

4.ではどうするか?

プロプライエタリなアプリを使っていると、OS/言語/フレームワークが古いバージョンでなくては動かないこともある。
これはOS/言語/フレームワークの組み合わせでも同様。ならば徹底して最新の環境で動くようにするのもひとつの手段である。

結論

SQLインジェクション怖い。

Leave a Reply

Your email address will not be published.

ABOUTこの記事をかいた人

森 英一

「ブログを超えて」をモットーに、ビジネスに役立てるためのウェブサイト制作を行っている。守備範囲はWordPressにとどまらず、ウェブサーバ(Linux)やメール配信システムなど幅広い。