PHP Web アプリケーションセキュリティ対策の良スライドまとめ
はじめに
Web アプリケーションセキュリティとなると情報が出揃ってきた感もありますが、PHP に関して言うと Web でも情報が足りないと感じています。
PHPに関して情報がないかなぁと思って調べてみると、SlideShare でよい感じのスライドがあったので、まとめてご紹介します。
基本的な対策
まずは、徳丸さんのスライドです。これは外せないですね。PHP の脆弱性だけでなく、PHP のライフサイクルに触れているのも現場にやさしいです。
次は若干古い情報ですが、PHP 固有の設定や関数、文字コードなどで危ない部分を解説している良スライドです。
次は、PHP のエラーに関するスライドです。エラー制御はセキュリティと密接な関係があるので、これは押さえておきたいですね。
発展的内容
もう少しセキュリティに踏み込んだスライドです。
こちらは徳丸本に載っていないセキュリティ対策のスライドです。Ajax やクリックジャッキングなどの内容が参考になります。徳丸本も第2版が待ち遠しいですね。
パスワード管理に関するスライドですね。パスワード管理は今もまだ熱いトピックなので押さえておきたいところです。
文字コードに起因する脆弱性とその対策です。文字コードは分かりにくいので、こういうスライドはありがたいですね。
ログイン前のセッションフィクセイションに関するスライドです。ログイン前というのはセキュリティ対策から抜け落ちてしまいがちなのでよいスライドだと思います。
PHP に限った話ではないですが、HTML5 特有のセキュリティに関するスライドです。HTML5 はこれから避けて通れない道ですから、今のうちに押さえておきたいところです。
その他
PHP の Web アプリケーションセキュリティという訳ではないですが、読んでみておもしろかったスライドです。
2014年の振り返りと、今後 Web アプリケーションに関わる人々がどのように対応していけばよいのかがまとめられています。振り返りは重要ですよね。
以下の2つのスライドは、実際に脆弱性診断を行っている方が、現場で起きた事件をもとにしたスライドです。おもしろいしとても参考になる内容になっています。
いわゆる「辞書攻撃」をどのようにするのかを解説しているスライドです。この内容はあくまで自分の管理下にある環境で行ってください。うっかりでも他の人の環境に試したら犯罪です。ご注意を。
まとめ
調べてみると意外に良質のスライドがたくさん見つかりました。セキュリティ業界は、ネットでの活動より勉強会や講演会といった場所での情報共有が多いのかもしれませんね。テーマ的に公にできないものもあるでしょうから。
でも、こういう形でスライドを公開してもらえると、そういう勉強会や講演会に参加できない身としてはとてもありがたいです。
Web アプリケーションセキュリティは、とっかかりが難しいのですが、こういうスライドを探すのもいいかもしれませんね。
スポンサーリンク
カテゴリー:ブログ
コメントを残す