セキュアコーディング勉強会第参回レポート
資料の詳細は、http://securecode.g.hatena.ne.jp/azurestone/20080718/1216389132にて、間もなく公開される予定ですので、そちらを見てください。
実は、前日くらいまで参加者が3名だったのでドキドキしていました
蓋を開けてみると8名も参加いただいてありがとうございましたm(_ _)m
今回は、AzureStoneさん一人で発表をされました。
Webアプリ脆弱性対策方法について
「前回のレポートを読んだ人」の反応について、調査して報告(AzureStone)
XSS
- 出力側で対策
- 最近は、Templateエンジンにフィルタ機能が付いている
SQLインジェクション
- プリペアーどステートメントを活用
OSコマンドインジェクション
- system()の使い方及び直接引数を渡さない
- 最近は、OSコマンドを実行することは少なくなった