#JavaDayTokyo 2016 2-C Java EE 7アプリケーションとWebセキュリティ

SQLインジェクション #jdt2016_2c

2016-05-24 14:29:40

パラメータのバインドにはプレースホルダを使う #jdt2016_2c

2016-05-24 14:30:35

JPAでの対応 #jdt2016_2c

2016-05-24 14:31:11

JPAのSQLインジェクション対策は[at]NamedQueryを使い、em.createQueryを使わせない。 #JavaDayTokyo #jdt2016_2C

2016-05-24 14:34:28

SQLインジェクション対策として使えるものにCriteria API なるのがあるのか #jdt2016_2C

2016-05-24 14:35:18

セッション管理の不備 #jdt2016_2c

2016-05-24 14:35:47

CriteriaAPIでもSQLインジェクション対策は可能だけど、criteriaAPIは学習コストが高い #JavaDayTokyo #jdt2016_2C

2016-05-24 14:35:55

セッションIDはログイン時にリフレッシュする #jdt2016_2c

2016-05-24 14:36:48

ログインに成功したらセッションIDをリフレッシュ #jdt2016_2C

2016-05-24 14:38:02

セッションIDはクッキーのみに入れる＆セキュア属性をつける #jdt2016_2C

2016-05-24 14:39:01

cookieにsecure属性付ける #jdt2016_2c

2016-05-24 14:39:39

emag @emaggame

APサーバ側の設定をつい考えちゃうなあ #jdt2016_2C

2016-05-24 14:41:32

自前ファイルラッパーは考えたことがなかった…検知対策に使えるし管理もしやすい。 #jdt2016_2C

2016-05-24 14:41:45

外部リソースを使う時はinterfaceを挟むといい #jdt2016_2C

2016-05-24 14:42:14

パス名チェックは、ラップした自前APIを使用する。その後java.io.*等をそのまま使っているところを検索して対策漏れをチェックする。 #JavaDayTokyo #jdt2016_2C

2016-05-24 14:43:07

クリックジャッキング #jdt2016_2c

2016-05-24 14:43:13

クリックジャッキング=SNSに限らず、意図しない投稿をさせる？ #jdt2016_2C

2016-05-24 14:44:08

X-Frame-Optionsをつける。DENYよりはSAMEORIGINの方が使いやすいかも #jdt2016_2c

2016-05-24 14:45:18

HTTPヘッダインジェクション #jdt2016_2c

2016-05-24 14:45:46

自力でヘッダに書き出さない #jdt2016_2c

2016-05-24 14:46:27

HTTPヘッダインジェクションはServletが対策済み #JavaDayTokyo #jdt2016_2C

2016-05-24 14:46:44

メールヘッダインジェクション #jdt2016_2c

2016-05-24 14:46:46

パラメータをヘッダにセットしない。またはセット前にチェックする。 #jdt2016_2c

2016-05-24 14:47:16

X-Content-Type-Options:nosniffの対応、ここ1カ月くらいで入れた気がする #jdt2016_2c

2016-05-24 14:50:50