Webアプリケーションの脆弱性について学んできた

2016/7/25(月)、Webアプリケーションの脆弱性について学んできた。イベントの詳細はこちら。
企業のWeb担当者の疑問を一刀両断!~『徳丸浩のWebセキュリティ教室』から学ぶ夜(第2回)~
img_2119.jpg
講師は言わずと知れたHASHコンサルティング株式会社の徳丸浩先生。
以下セミナーの概要と考えたこと。

1.SQLインジェクション対策もれの責任を開発会社に問う判決の解説

大まかな内容は徳丸先生のブログのこの記事を参照。
記事にも書かれているとおり、開発会社は人命に関わる建築や医療と同じように十分な専門性を持つべきだ、というのが一般的な認識になっているのかも知れない。

2.SQLインジェクション攻撃でカード番号を窃取してみよう

IMG_2120
徳丸先生がカスタマイズしたEC-CUBEやPHPアプリでデモをしてくれた。目の当たりにすると怖いね。

3.開発者が注意すること

OSや言語・フレームワークのサポートサイクルポリシーに注意すること。
Windows XPのセキュリティサポートが切れる際にも大騒ぎになったのは記憶に新しいところだ。

4.ではどうするか?

プロプライエタリなアプリを使っていると、OS/言語/フレームワークが古いバージョンでなくては動かないこともある。
これはOS/言語/フレームワークの組み合わせでも同様。ならば徹底して最新の環境で動くようにするのもひとつの手段である。

結論

SQLインジェクション怖い。

1 個のコメント

  • With havin so much content and articles do you ever runn into
    any problems of plagorism orr copyright infringement? My blog has a lot off unique contet I’ve either written myself or outsourced but it appears a lot of it is
    popping it up all over the web without my agreement.

    Do you know any ways to help protect against content from being stolen?
    I’d certainly appreciate it.

  • Leave a Reply

    Your email address will not be published.

    ABOUTこの記事をかいた人

    森 英一

    「ブログを超えて」をモットーに、ビジネスに役立てるためのウェブサイト制作を行っている。守備範囲はWordPressにとどまらず、ウェブサーバ(Linux)やメール配信システムなど幅広い。