概要 今回は少し変化球です。 サイバーセキュリティの世界では認証(Authentication)と認可(Authorization)という単語が存在します。 二つの単語はとても似ていますし、境が曖昧なエンジニアのかたをよく見かけます。 認証・認可とは 認証とは Wikipedia より…

Webの脆弱性超基礎の記事が多くなりそうだったので、まとめページ作っておきます。 筆者ようの備忘録です。(自己満足記事です) 新しい記事書いたら随時更新します。 【駆け出しエンジニア向け】 Webアプリエンジニア出身の情報処理安全確保支援士がまとめる …

超基礎まとめ記事第三弾です。 前回の記事はこちら。 ultrabirdtech.hatenablog.com 今回はCSRFの脆弱性です。 概要 対策 1. トークン確認処理を行う 2. リファラーのチェックを行う 3. 重要な処理の前に本人認証(パスワード認証)を行う まとめ 概要 CSRF(Cr…

どーも。ばぁどです。 前回の記事 Webの脆弱性①超基礎 -XSS編-はこちら。 ultrabirdtech.hatenablog.com SQLインジェクション 概要 情報の取得、値の改ざん 対策 1. バインド機構を用いる まとめ 参考 徳丸本 SQLインジェクション 概要 SQLインジェクション…

どーも。ばぁどです。 もうすぐ7年目になるWebアプリエンジニア上がりの情報処理安全確保支援士です。(情報処理安全確保支援士歴は2020年度で3年目になります) 現在はセキュリティ関連の仕事をやったり、社内内部システムの開発などをしたりしています。 最…