うすゆきブログ

セキュリティ週間2日目【備忘録】5/18

2021年5月19日 2021年5月18日

ひとこと感想

本業(大学とバイト)であまり時間を取れませんでした。とにかく続けることを目標にします。

ワクチン予約サイトの一件

Torでアクセスできるとか、SQLインジェクションできるとか、世間を騒がせています。セキュリティの知識って大事だなと改めて気付かされました。
予約サイトのフロント、この時代にBootstrap3で他style=で直書きもなかなかインパクトありましたが、あまり話題にはなっていません。

今日学んだこと

1.XSS応用

JSのエスケープルールは難しい!→脆弱性温床

JSの動的生成を避ける!→別のところで値生成して、JSで参照するとか、インラインJSONPで渡すとか

2.SQLインジェクション

狙ったかのようにホットなタイミング。

激ヤバな脆弱性。すべての情報抜かれる。
SQLのエラーメッセージにpassとid出てたり、UNION SELECTだったり、でやられる。
リテラルに注意。
→プレースホルダでSQL文を組み立てる!できれば静的プレースホルダで。