第14回tktkセキュリティ勉強会Tweetまとめ( #tktksec )

Noribomb @noribomb

今日はセキュア開発トレーニング。 #tktksec pic.twitter.com/7AF9AKbZ9V

拡大

chocopurin @cluclu_land

侵入 #tktksec pic.twitter.com/XEiyXxCzNs

拡大

ypresto @yuya_presto

「パスワードの定期的な変更は不要」「文字種四種混合みたいなのは避ける」定期的な変更を要求してくるサービスまだまだある #tktksec

ypresto @yuya_presto

SQL Injection Prevention Cheat Sheet cheatsheetseries.owasp.org/cheatsheets/SQ… #tktksec

ypresto @yuya_presto

A09:2021セキュリティログとモニタリングの失敗 パスワードリスト攻撃も、検知できていれば被害を縮小できた #tktksec

ypresto @yuya_presto

某電力会社は数件に抑えることができている #tktksec

ypresto @yuya_presto

A10:2021 サーバサイドリクエストフォージェリ AWSのメタデータエンドポイントから認証情報を盗むとか oO(React Server Componentsとかで怖くなりそう #tktksec

ypresto @yuya_presto

入力値検証、意外とできてない #tktksec

ypresto @yuya_presto

リダイレクトURL、ホワイトリストですよね #tktksec

ypresto @yuya_presto

cheatsheetseries.owasp.org/cheatsheets/In… #tktksec

ypresto @yuya_presto

oO(購入数のマイナスなど、たしかに漏れてることありそう。5000円のものを、1000x-4を追加して1000円で買ってた事例ｗ #tktksec

ypresto @yuya_presto

サイズを先にチェックせよ、DoS攻撃の原因になる (メモリ上に1GB展開とか) #tktksec

ypresto @yuya_presto

ReDoS yamory.io/blog/about-red… #tktksec oO(個人的には、vscodeで正規表現入れてる途中でフリーズすることあるのをなんとかしてほしいｗ

ypresto @yuya_presto

サイズの検証、忘れがち。フロントでチェックしてるのでは足りない。 #tktksec oO(ありそー

ypresto @yuya_presto

クエリパラメーター、cookie、ヘッダーも検証忘れず #tktksec

ypresto @yuya_presto

oO(インジェクション系統は、SQLやHTMLなどに引き渡すときにプレースホルダやエスケープを確実に行っていれば防げるので、入力時点のバリデーションで弾かなくても良いような・・？ #tktksec

ypresto @yuya_presto

oO(正規表現で入力値検証する時、ワイルドカード使うといろいろ漏れるよね #tktksec

ypresto @yuya_presto

oO(Perlでescapeしてた当時懐かしい・・ #tktksec

ypresto @yuya_presto

ORDER BYカラム名は文字列結合になる (本来的にはユーザー入力を期待しない箇所なので当然だけど)、ありがちな気がする #tktksec

ypresto @yuya_presto

oO(Log4j脆弱性ありましたね #tktksec

ypresto @yuya_presto

oO(改行をbrタグに変換したいがためのエスケープ無効化、ありそうｗ #tktksec

ypresto @yuya_presto

改行をbrタグに変換するやつ自体にエスケープ処理を埋め込んでおいたほうが良い気がする #tktksec

ypresto @yuya_presto

すでにDBに入ってるデータを、別のSQLに渡すときに文字列結合してしまう"Second-Order" SQL Injectionという概念 #tktksec

ypresto @yuya_presto

データと命令を分離せよ (基本でありつつめちゃくちゃ大事ですよね) #tktksec

ypresto @yuya_presto

ちょっと遅いですか、お昼決まってない方へ！ ラーメン→中村商店、きんせい 寿司→喜楽 タイ料理→アユタヤ がおすすめです！ #tktksec