それはきっと自分であける穴。「体系的に学ぶ安全なWebアプリケーションの作り方」を再読した。

2015/09/25 19:00:27

発売当初に買って読んだんだけど、当時はホームページ屋勤務で、Javascript書くことでぐらいしかダイレクトにかかわることがなかった。

バックエンドもいじるようになった今、当時とはちがった視点で読めた。

あらゆる入力がとんでくる

入力は制御できないので、あらゆる値がとんでくることを想定して開発しなくてはならない。

定番のライブラリがあるにもかかわらず、セキュリティにかかわる部分を自社開発した結果、穴をあける事例が多いとのこと。

現代のWebアプリケーション開発では、人気のあるすぐれたフレームワークにのっかって行うのが主流だと思う。人気のあるすぐれたフレームワークやライブラリは、すぐれた技術者がよってたかって開発したり攻撃したりするので、定型の攻撃はまず間違いなく想定され、対策を施されている。

そんな安全な環境が用意されているにもかかわらず、「いや自分でやった方がええし、この部分はワシがやったる」という血気盛んな人間や「ライブラリの使い方調べるのめんどくさいし、この部分はワシがやったる」というめんどくさがりなんだかなんなんだかわからない人間により、穴があけられる。

すぐれたフレームワークにより、多くの攻撃は自動的に封じられている。自動的すぎてまるでそれが存在しないかのように開発を行うことができるが、もちろん一歩外に出ればそれは存在する。

フレームワークを使わなくなった途端、ああそれはフレームワークが自動的にやってくれた部分だよね、というバグ（そして脆弱性）を仕込んだ事例を、実際目の当たりにしたことがある。

そういう戦いがあり、今も普通に攻撃を受けうるということを知っておかなければならない。フレームワークの一見わずらわしい部分の理由がわかる。

CSRFを数件見つけたので連絡しました。

こっちも買うしかない。