Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2015年3月22日

PHP Web アプリケーションセキュリティ対策の良スライドまとめ

はじめに

Web アプリケーションセキュリティとなると情報が出揃ってきた感もありますが、PHP に関して言うと Web でも情報が足りないと感じています。

PHPに関して情報がないかなぁと思って調べてみると、SlideShare でよい感じのスライドがあったので、まとめてご紹介します。

 

基本的な対策

まずは、徳丸さんのスライドです。これは外せないですね。PHP の脆弱性だけでなく、PHP のライフサイクルに触れているのも現場にやさしいです。

安全なPHPアプリケーションの作り方2014 from Hiroshi Tokumaru

 

 

次は若干古い情報ですが、PHP 固有の設定や関数、文字コードなどで危ない部分を解説している良スライドです。 

PHPでセキュリティを真面目に考える from Takuya Sato

 

 

次は、PHP のエラーに関するスライドです。エラー制御はセキュリティと密接な関係があるので、これは押さえておきたいですね。

90分間濃縮 PHPエラーの教室 from yandod

 

発展的内容

もう少しセキュリティに踏み込んだスライドです。

こちらは徳丸本に載っていないセキュリティ対策のスライドです。Ajax やクリックジャッキングなどの内容が参考になります。徳丸本も第2版が待ち遠しいですね。 

徳丸本に載っていないWebアプリケーションセキュリティ from Hiroshi Tokumaru

 

パスワード管理に関するスライドですね。パスワード管理は今もまだ熱いトピックなので押さえておきたいところです。

いまさら聞けないパスワードの取り扱い方 from Hiroshi Tokumaru

 

文字コードに起因する脆弱性とその対策です。文字コードは分かりにくいので、こういうスライドはありがたいですね。

文字コードに起因する脆弱性とその対策(増補版) from Hiroshi Tokumaru

 

ログイン前のセッションフィクセイションに関するスライドです。ログイン前というのはセキュリティ対策から抜け落ちてしまいがちなのでよいスライドだと思います。 

ログイン前セッションフィクセイション攻撃の脅威と対策 from Hiroshi Tokumaru

 

PHP に限った話ではないですが、HTML5 特有のセキュリティに関するスライドです。HTML5 はこれから避けて通れない道ですから、今のうちに押さえておきたいところです。

HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API from Yosuke HASEGAWA

 

その他

PHP の Web アプリケーションセキュリティという訳ではないですが、読んでみておもしろかったスライドです。

2014年の振り返りと、今後 Web アプリケーションに関わる人々がどのように対応していけばよいのかがまとめられています。振り返りは重要ですよね。

他人事ではないWebセキュリティ from Yosuke HASEGAWA

 

以下の2つのスライドは、実際に脆弱性診断を行っている方が、現場で起きた事件をもとにしたスライドです。おもしろいしとても参考になる内容になっています。

とある診断員とSQLインジェクション from zaki4649

 

とある診断員と色々厄介な脆弱性達 from zaki4649

 

いわゆる「辞書攻撃」をどのようにするのかを解説しているスライドです。この内容はあくまで自分の管理下にある環境で行ってください。うっかりでも他の人の環境に試したら犯罪です。ご注意を。 

辞書攻撃をする人は何をどう使っているのか from ozuma5119

 

まとめ

調べてみると意外に良質のスライドがたくさん見つかりました。セキュリティ業界は、ネットでの活動より勉強会や講演会といった場所での情報共有が多いのかもしれませんね。テーマ的に公にできないものもあるでしょうから。

でも、こういう形でスライドを公開してもらえると、そういう勉強会や講演会に参加できない身としてはとてもありがたいです。

Web アプリケーションセキュリティは、とっかかりが難しいのですが、こういうスライドを探すのもいいかもしれませんね。


スポンサーリンク




カテゴリー:ブログ

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA