安全なWebアプリケーションの作り方読書メモ - yukiの庭

安全なWebアプリケーションの作り方読書メモ

https://scrapbox.io/files/64fb1b59bc0fe3001cff0cc8.png

https://amzn.to/3PwglfZ

かなりページ数や内容があるのでどのように読むか

1つ1つの動作確認はしない

項目にインデックスを貼るように、知識として身につける（細かい動作や説明は気になったものだけ）

終わった後どうなっていたいか

WEBセキュリティの問題に関して、そらで列挙できる

その対策はぼんやり知っており、調べれば対処できる

/emoji/tea.icon

関連して、試験も調べてみた

実用的な試験を受けたいから、徳丸試験に興味を持っている。

https://www.youtube.com/watch?v=LMJSU9OlpRo

公式ロゴとか出してくれるのも嬉しい。みてみよう。その上で本を読もう。

クッキーにHTTP通信だけ制限させる機能はない

/etc/psswd へのアクセス制御は現実的に難しい

7章からは出ない

それぞれの章に出てくる単語をしっかり押さえて、対策とセットで覚えよう。

YouTubeを一緒に見るのも良さそう。

https://www.youtube.com/@websecstudy

1-3章

安全なウェブサイトの作り方

https://www.ipa.go.jp/security/vuln/websecurity/about.html

リクエストライン

GET /URL HTTP/1.1 これ

逆に帰ってきたレスポンスの1行目はステータスライン

MIME

Multipurpose Internet Mail Extensions

image.gifみたいなやつ

パーセントエンコーディング

記号や日本語をURL上に記載するときに、対象の文字をバイト単位で表す

徳→E5 BE B3→%E5%BE%B3になる

Referer

元リンクのURLを示す

意図した挙動になっているかをチェックできる反面、URLにセッション情報とか入れると、ここから流出

HTTPでは、hiddenパラメーターも送信パラメーターも利用者自身は書き換え可能。

hiddenパラメータのメリットについて

https://groups.google.com/g/wasbook-readers/c/8_G_J1aHGfc?pli=1

どういうことだろうと思って調べたら、徳丸さん自身の回答があった

攻撃手法が限られるとのこと。

次回はP58から

#セキュリティ