PHP Web アプリケーションセキュリティ対策の良スライドまとめ

Web アプリケーションセキュリティとなると情報が出揃ってきた感もありますが、PHP に関して言うと Web でも情報が足りないと感じています。

PHPに関して情報がないかなぁと思って調べてみると、SlideShare でよい感じのスライドがあったので、まとめてご紹介します。

まずは、徳丸さんのスライドです。これは外せないですね。PHP の脆弱性だけでなく、PHP のライフサイクルに触れているのも現場にやさしいです。

安全なPHPアプリケーションの作り方2014 from Hiroshi Tokumaru

次は若干古い情報ですが、PHP 固有の設定や関数、文字コードなどで危ない部分を解説している良スライドです。

PHPでセキュリティを真面目に考える from Takuya Sato

次は、PHP のエラーに関するスライドです。エラー制御はセキュリティと密接な関係があるので、これは押さえておきたいですね。

90分間濃縮 PHPエラーの教室 from yandod

もう少しセキュリティに踏み込んだスライドです。

こちらは徳丸本に載っていないセキュリティ対策のスライドです。Ajax やクリックジャッキングなどの内容が参考になります。徳丸本も第２版が待ち遠しいですね。

徳丸本に載っていないWebアプリケーションセキュリティ from Hiroshi Tokumaru

パスワード管理に関するスライドですね。パスワード管理は今もまだ熱いトピックなので押さえておきたいところです。

いまさら聞けないパスワードの取り扱い方 from Hiroshi Tokumaru

文字コードに起因する脆弱性とその対策です。文字コードは分かりにくいので、こういうスライドはありがたいですね。

文字コードに起因する脆弱性とその対策（増補版） from Hiroshi Tokumaru

ログイン前のセッションフィクセイションに関するスライドです。ログイン前というのはセキュリティ対策から抜け落ちてしまいがちなのでよいスライドだと思います。

ログイン前セッションフィクセイション攻撃の脅威と対策 from Hiroshi Tokumaru

PHP に限った話ではないですが、HTML5 特有のセキュリティに関するスライドです。HTML5 はこれから避けて通れない道ですから、今のうちに押さえておきたいところです。

HTML5のセキュリティもうちょい詳しく－ HTML5セキュリティその3 : JavaScript API from Yosuke HASEGAWA

PHP の Web アプリケーションセキュリティという訳ではないですが、読んでみておもしろかったスライドです。

2014年の振り返りと、今後 Web アプリケーションに関わる人々がどのように対応していけばよいのかがまとめられています。振り返りは重要ですよね。

他人事ではないWebセキュリティ from Yosuke HASEGAWA

以下の２つのスライドは、実際に脆弱性診断を行っている方が、現場で起きた事件をもとにしたスライドです。おもしろいしとても参考になる内容になっています。

とある診断員とSQLインジェクション from zaki4649

とある診断員と色々厄介な脆弱性達 from zaki4649

いわゆる「辞書攻撃」をどのようにするのかを解説しているスライドです。この内容はあくまで自分の管理下にある環境で行ってください。うっかりでも他の人の環境に試したら犯罪です。ご注意を。

辞書攻撃をする人は何をどう使っているのか from ozuma5119

調べてみると意外に良質のスライドがたくさん見つかりました。セキュリティ業界は、ネットでの活動より勉強会や講演会といった場所での情報共有が多いのかもしれませんね。テーマ的に公にできないものもあるでしょうから。

でも、こういう形でスライドを公開してもらえると、そういう勉強会や講演会に参加できない身としてはとてもありがたいです。

Web アプリケーションセキュリティは、とっかかりが難しいのですが、こういうスライドを探すのもいいかもしれませんね。