セキュリティ講義【サイボウズ開運研修2021】

00:00:00 - 00:00:04： それでは海運研修のセキュリティの行為を始めます 00:00:04 - 00:00:09： b さあと農塚ですよろしくお願いします 00:00:09 - 00:00:12： まず最初に at さあとについて紹介します 00:00:12 - 00:00:18： インサートはプロダクトセキュリティインシデントレスポンスチームの頭二文字を取っ 00:00:18 - 00:00:21： たチームでその南通製品セキュリティの 00:00:21 - 00:00:23： 品質向上や 00:00:23 - 00:00:27： 21年と対応や支援などを行うチームになります 00:00:27 - 00:00:32： p さあとという言葉は一般的な言葉なんですが細部増の p さんとは特に 00:00:32 - 00:00:38： 歳 p さあとという名前で活動をしていますただ社内で呼ぶときは単に p 砂糖と 00:00:38 - 00:00:43： 呼んで頂ければと思います 00:00:43 - 00:00:49： p 社との活動ですがまずサイボーズ製品の社内検証脆弱性検証になります 00:00:49 - 00:00:56： 22 s 社内検証等で見つかった細胞製品の脆弱性の評価や製品で利用している os 00:00:56 - 00:01:01： 英数ので尺性の収集を行っていたりします 00:01:01 - 00:01:05： また外部のセキュリティ専門カー等 00:01:05 - 00:01:09： に報告いただいた細胞製品の脆弱性に対して 00:01:09 - 00:01:14： その脆弱性に応じて報奨金制度を払うお支払いする制度を集金聖堂と呼んでいるものが 00:01:14 - 00:01:20： あるんですがそちらの運用していたりします 00:01:20 - 00:01:26： 第幸4回に連続性検証と読めるものは社内で行っている社内検証以外にも外部の 00:01:26 - 00:01:32： セキュリティ機関に依頼を出して二つのセキュリティ顕彰館さというものを実施してい 00:01:32 - 00:01:59： ますその1セキュリティ監査の監査結果は外部にも公開しています 00:01:59 - 00:02:02： パティみぇジャーを 00:02:02 - 00:02:07： を使うチームになります p さあと東セキュリティスト役割は違いますが 00:02:07 - 00:02:11： 年型はしています 00:02:11 - 00:02:17： いやここから web セキュリティについて話していきます 00:02:17 - 00:02:22： まずこの3つの言葉機密性完全性可用性という言葉を紹介します 00:02:22 - 00:02:28： この機密性完全性可用性それぞれ英訳の時の先頭の文字をとって cia と呼びます 00:02:28 - 00:02:31： がこの言葉は web セキュリティにかかわらず 00:02:31 - 00:02:36： 情報セキュリティ全般に使われる言葉なのでぜひ覚えていってください 00:02:36 - 00:02:37： まず1 00:02:37 - 00:02:41： 爪 c 気密性ですこれは簡単にいうと 00:02:41 - 00:02:48： 見れてはいけない情報がちゃんと見えないという特性を刺します次にはい完全性ですが 00:02:48 - 00:02:48： こちらは 00:02:48 - 00:02:56： 得た情報を取得した情報が正確であるという特性を刺します三つ目の a 管 00:02:56 - 00:02:58： 可用性は 00:02:58 - 00:03:02： 許可された人に対して 00:03:02 - 00:03:07： ちゃんと情報が提供されるという特性を指します 00:03:07 - 00:03:16： cia という言葉この資料の中でも出てきますのでここで覚えていってください 00:03:16 - 00:03:22： 次に情報資産という言葉がありますこれは情報セキュリティが守るべき対象のものを 00:03:22 - 00:03:23： 指します 00:03:23 - 00:03:27： 愛で丁寧だと pc 設備印刷物情報 00:03:27 - 00:03:29： 人などは挙げられます 00:03:29 - 00:03:33： 簡単に宝箱の0 day 00:03:33 - 00:03:41： ラバスト宝箱の中にある守るべきものの事態をさすると考えて頂ければ大丈夫だと思い 00:03:43 - 00:03:50： 次に脆弱性という言葉ですこちらはセキュリティ上の問題箇所を総称して呼ばれるもの 00:03:51 - 00:03:55： 例えばソフトウェアのバクー窓によってセキュリティの影響があったり 00:03:56 - 00:04:02： それ部分や不適切なう輸入にセキュリティが維持できなくなる状態 00:04:02 - 00:04:05： 脆弱性と呼んだりします 00:04:05 - 00:04:11： 宝箱のレイド十条本市さんが入っているその他から木に開いた穴自体が脆弱性 00:04:11 - 00:04:15： だと思ってください 00:04:15 - 00:04:21： ついて脅威という言葉ですねこれは情報資産家はそしてに損害を与える可能性がある 00:04:21 - 00:04:24： 原因になります 00:04:24 - 00:04:28： 分かりやすい例で言うと外部からの細胞日 00:04:28 - 00:04:32： 地震などの自然災害なども組みます 00:04:32 - 00:04:40： 右下の例のたから米ので宝箱の例で見ていただくと分かる通り教委はこの矢印なんです 00:04:40 - 00:04:44： けどまぁこれだけでも特に情報資産には影響は無いんですが 00:04:44 - 00:04:48： 先ほど説明した脆弱性アナその 00:04:48 - 00:04:54： だから僕に開いてアナと重なることで初めてリスクが発生するものになります 00:04:54 - 00:05:05： リスクとは脅威と脆弱性がそろって発生するものだと思ってください 00:05:05 - 00:05:09： 続いて cwe という言葉がありますこちらは 00:05:09 - 00:05:15： セキュリティ上の脆弱性の種類を識別する番号になります 00:05:15 - 00:05:20： 例えばこの後説明しますが sql インジェクションと言われる脆弱性は cw 位 00:05:20 - 00:05:22： 81球板 00:05:22 - 00:05:27： が振られていたり c surf と言われる脆弱性は cwe 352万 00:05:27 - 00:05:33： が振られていたりしますもちろんこの2種類だけではなくたくさんの4 wd が裁判 00:05:33 - 00:05:40： されていますので気になることは参考情報の url 先を見てみてください 00:05:40 - 00:05:46： 続いで cv 良いですこちらは先ほど紹介した cwd と一文字違いでにてるん 00:05:46 - 00:05:47： ですが 00:05:47 - 00:05:55： シーン we は脆弱性の種類を識別するものだったのに対しこちらの cve 1 00:05:55 - 00:05:58： 一つ一つの脆弱性を識別する番号2 00:21:29 - 00:21:31： なります 00:06:00 - 00:06:05： 具体例でいうとせシェルショックと言われる脆弱性が昔あったんですがこちらに振られ 00:06:05 - 00:06:07： た cv は 00:06:07 - 00:06:12： 2014の6271マンボこの番号覚える必要はないんですけど 00:06:12 - 00:06:22： そんな金番号がふられていますチラも加工事例チームの方参考情報をご覧下さい 00:06:22 - 00:06:27： それ cvss という言葉があります 00:06:27 - 00:06:32： これは1個1個の脆弱性の深刻度を数値化するためのシステムになります 00:06:32 - 00:06:36： デュエット数値化するかというと最初に説明した試合へ 00:06:36 - 00:06:42： 機密性完全性可用性の3つに加えて5個の項目 00:06:42 - 00:06:45： k 8この項目で脆弱性を評価します 00:06:45 - 00:06:51： その後子には例えばボディ経路攻撃を成功させるためにはネットワーク経由のアクセス 00:06:51 - 00:06:53： でいいのか 00:06:53 - 00:06:58： 物理アクセスが必要なのかを評価したり恋キーンを複雑さ 00:06:58 - 00:07:05： これはぽいディティ者がその高域を成立させるためにどれくらい複雑な手順が必要だっ 00:07:05 - 00:07:10： たり前提条件が必要だったりっていうのを表す指標になっています 00:07:10 - 00:07:13： これら5個某年や a 85 00:07:13 - 00:07:19： 組み合わせて0点ゼロから10.0で1001段階で脆弱性を評価することができる 00:07:19 - 00:07:24： システムになっています 00:07:24 - 00:07:30： ではここからは実際に何個かの脆弱性をピックアップしてそれの原因と対策っていう 00:07:30 - 00:07:34： ところを話していきたいとおもいます 00:07:34 - 00:07:39： もの一つ目ですが still インジェクションと言われるも 00:07:39 - 00:07:43： こちらは web アプリケーションを通じて兄 msk 部分をデータベースに対し 00:07:43 - 00:07:46： て発行できる脆弱性になります 00:07:46 - 00:07:52： 原理としてはユーザーの入力を適切に処理しないでエスケール本を発行することで行き 00:07:52 - 00:07:58： しないスケール文が実行されることになります 00:07:58 - 00:08:01： こちら簡単な具体例になります 00:08:01 - 00:08:09： 8 tbl ユーザーと寄れるテーブルから 00:08:09 - 00:08:13： id ガジェットパラメータに含まれる id という 00:08:13 - 00:08:19： 入力と一致した模様を持ってくるという文になるんですがどこが脆弱作かというと 00:08:19 - 00:08:22： もちろん最後の id = 00:08:22 - 00:08:25： 月桃の部分がで逆に 00:08:25 - 00:08:30： ここでは何も入力せずにゲットパラメーターの id を直接 00:08:30 - 00:08:34： 演説していますがもしゲットパラメーターの ib 2 00:08:34 - 00:08:39： このような文字が入力されていたらどうなるでしょうか入力はシングルコーテーション 00:08:39 - 00:08:42： は1号 00:08:42 - 00:08:45： ハイフン配布 00:08:45 - 00:08:49： これを単純にくっつけてみるとこんな文字列になります 00:08:49 - 00:08:53： id コールシングルコーテーションもう一回シングルコーテーション 00:08:53 - 00:08:56： は1=1ハイフン配布 00:08:56 - 00:08:58： シングルコーテーションなります 00:08:58 - 00:09:01： この前後のシングルコーテーションももともと 00:09:01 - 00:09:02： エステール分 00:09:02 - 00:09:08： にあったシングルコーテーションですがその中身が id に入力されたユーザー文字 00:09:08 - 00:09:09： 列になります 00:09:09 - 00:09:13： これをそのまま解釈するとどうなるかというと 00:09:13 - 00:09:17： id がからもしくは1=1 00:09:17 - 00:09:19： という文になります 00:09:19 - 00:09:22： 後ろのハイフン配布っていうのはしける 00:09:22 - 00:09:25： のコメントアウトを刺しますので 00:09:25 - 00:09:30： 最後のシングルコーテーションは無効化されていることが分かります 00:09:30 - 00:09:34： なので id はからもしくは1=1 00:09:34 - 00:09:39： 常に身になるんですねなぜかというと1=1というのは常に死んでそれが大あで 00:09:39 - 00:09:47： くっついているからですなので全部のジョーカーフィットしてしまってそれこの処理に 00:09:47 - 00:09:48： よってはえーっ 00:09:48 - 00:09:58： でデータベースの豪炎につながる可能性があります 00:09:58 - 00:10:03： 8 sql 文 sql インジェクションの原因と対策ですが原因は先ほど 00:10:03 - 00:10:08： で見たようにユーザーが入力した文字列をそのまま何も対応せずに 00:10:08 - 00:10:11： エスケール分に 00:10:11 - 00:10:15： 弁舌して発行しすることによって起こります 00:10:15 - 00:10:21： sql インジェクション対策は自分でどうにかするという部分も減ってきていて実績 00:10:21 - 00:10:25： のあるフレームワーク等のエスケールの支援知行 00:10:25 - 00:10:30： ベストプロックスに載っとる必要があります参考としては少し古いドキュメントですが 00:10:30 - 00:10:37： ip 荒らしてるドキュメントがあるのでお時間の方は読んでみてください 00:10:37 - 00:10:45： ついて xs エースといわれる脆弱性になります 00:10:45 - 00:10:50： excess 英数とは web アプリケーションを通じて兄のスクリプトを利用者 00:10:50 - 00:10:52： のブラウザで実行させる脆弱性になります 00:10:52 - 00:10:58： 天理としては html タブなどを破壊する入力 00:10:58 - 00:11:04： をそのまま解釈することでスクリプトを実行させることになります 00:11:04 - 00:11:09： 後ろについては筑水違うとと反射型度もベース度というものがありますが詳しくはここ 00:11:09 - 00:11:17： では説明しませんので興味がある方は調べてみてください 00:11:17 - 00:11:24： ここでは反射のた xs です ptp の例を 00:11:24 - 00:11:28： 打ってみますこちらは url の name パラメーター 00:11:28 - 00:11:32： レッド張ってとパラメータのネームの値もそのまま 00:11:32 - 00:11:39： 一番たかで囲ってバスという高度になっていますが威力が a の左の場合ですね 00:11:39 - 00:11:41： こちらの場合はそのまま 00:11:41 - 00:11:49： 一番宅に囲われた a という文字列が出ていきますがもし9 name パラメータ 00:11:49 - 00:11:52： にこのような文字列が入力されてたらどうなるか 00:11:52 - 00:11:56： いうとこれはそのまま 00:11:56 - 00:12:00： 一番ために囲って出力することで 00:12:00 - 00:12:05： ブラウザはもちろんこれをスクリプトタブと解釈しますのでその中に抱えたスクリプト 00:12:05 - 00:12:10： アラート市というものが実行されます 00:12:10 - 00:12:15： このネットと1っていうアラートが出るだけで実害はないんですが実際にはぽいれ記者 00:12:15 - 00:12:25： の頭サーバと通信を行ったり情報の引き出すということが行われます 00:12:25 - 00:12:31： エク生成さの原因なんですが東 skd インジェクションの危機も 00:12:31 - 00:12:35： 似たような原因だったんですが入山入力 00:12:35 - 00:12:39： 共同メイドと name パラメーターに当たりますがそういう入力をそのまま 00:12:39 - 00:12:46： html に出す本来であれば小なりと課題形のように html 上で特殊な夢を 00:12:46 - 00:12:47： 持つ文字は 00:12:47 - 00:12:51： シェイプしなければいけないんですがそれが行われていないなどが挙げられます 00:12:51 - 00:12:52： ています 00:12:52 - 00:13:02： 対策としては html を短縮エスケープするというところが対策になっていきます 00:13:02 - 00:13:05： でさちょうど xs あ 00:13:05 - 00:13:11： に何個か例があるなんか種類があるという話をしたんですがその中のドームベースで 00:13:11 - 00:13:19： xs について少し補足しますどのベースの xs は総数と言われる部分とシンクと 00:13:19 - 00:13:23： 言われる部分で構成されるとされています 00:13:23 - 00:13:28： ソースというのまあ鯉口者によって実際にペイロードを扱いレコーダーを埋め込まれる 00:13:28 - 00:13:30： 可能性がある箇所を指します 00:13:30 - 00:13:33： 歌入れるとロケーション1 f はやアプリケーション 00:13:33 - 00:13:37： search 何度かが入ったします 00:13:37 - 00:13:43： シンクはそのソースに含まれる持ち列を用いることは実際に xss あ 00:13:43 - 00:13:48： 発生する箇所になります document writer や 00:13:48 - 00:13:53： 伊奈英次てメールなどが該当しますこれらを組み合わせで同ベースで excess が 00:13:53 - 00:13:56： 発生するとされています 00:13:56 - 00:13:59： もちろん簡単の具体でですね 00:13:59 - 00:14:04： script タグ9を見ていただきたいんですがスクリプト食べないの一つ目のよう 00:14:04 - 00:14:08： に t txt という 00:14:08 - 00:14:10： 変数にへ 00:14:10 - 00:14:14： エミュレーション園8週から持ってきた文字列をそのまま 00:14:14 - 00:14:17： 代入しています国がソースとなり得る部分になります 00:14:17 - 00:14:20： その次良いようで 00:14:20 - 00:14:24： インナー1 t メールに何もエスケープせずみー txt の値を代入しています 00:14:24 - 00:14:27： ここがシンクになります 00:14:27 - 00:14:37： このコード実際攻撃構造ともに実行すると xs が発生するものます 00:14:37 - 00:14:43： どもベース xs というのはその他の育成制すの中でも対策足にくいとされる種類の 00:14:43 - 00:14:46： 一つです 00:14:46 - 00:14:50： なので近年ではドンベスト xa 性に特化した 00:14:50 - 00:14:55： 対策というものも出てきますそれがトラステッドタイプすと言われるものです 00:14:55 - 00:14:59： あとで少し説明しますが csp と言われるもので 00:14:59 - 00:15:05： プラスティッとタイプ数を指定することでシンクに代入される方ををトラステッド 00:15:05 - 00:15:09： タイプするに限定することができます 00:15:09 - 00:15:14： ラセットタイプ水害だとシンクに代入しようとするとエラーに 00:15:15 - 00:15:21： この+ティップタイプスっていうのは使いが難しかったりする部分もあるんですが 00:15:21 - 00:15:26： ブラウザで対応していないものもあるのでもし使う場合は十分に 00:15:26 - 00:15:31： サポート範囲を考える必要があります 00:15:31 - 00:15:35： +テッドタイプ州の簡単な例なんですが 00:15:35 - 00:15:38： スクリプト食べないを見ていただくとこちらの幸 00:15:41 - 00:15:44： マイポリシーと言われるものが自分で定義する 00:15:44 - 00:15:47： プラスティッとタイプ数 00:15:47 - 00:15:54： 点物になりますその罪は8コンサート txt と言われるトップ分は先ほどの例 00:15:54 - 00:15:59： 脆弱な例と一緒でその次のようですね document .ジェットエレメント by 00:15:59 - 00:16:06： 愛にサンプルいまいちて6=テキスト tft のところですがここはエラーになり 00:16:06 - 00:16:12： なぜかというとインド html といわれるものはシンクにあたる部分でここに代入 00:16:12 - 00:16:15： するのは文字列は 00:16:15 - 00:16:18： 許可されません 00:16:18 - 00:16:23： 代わりにその次の行に by ポリシーの中にあるクリエイト html という 00:16:23 - 00:16:26： エスケープ関数を通すソースことで 00:16:27 - 00:16:29： た移入ができます 00:16:29 - 00:16:33： このクリエイト html っていうのはに8 00:16:33 - 00:16:37： の中で適切な x cheap をするっていうのが前提なんですがここもエスケープ 00:16:37 - 00:16:41： が脆弱だったり不十分だったりすると 00:16:41 - 00:16:47： もちろん完全に挑む sxs が防げるわけではありませんが単純に 00:16:47 - 00:16:51： ft を代入するような光量も音です 00:16:51 - 00:16:54： 配慮もレっていうのがなくなる 00:16:54 - 00:17:00： 手法になっています 00:17:00 - 00:17:06： 続いて c surf クロサイトすっビック s とフォジェリーといわれる 00:17:06 - 00:17:11： 脆弱性について紹介しますこちらは被害者がお花リンクをクリックすることでいいとせ 00:17:11 - 00:17:12： ず処理させる 00:17:12 - 00:17:15： 脆弱性になります 00:17:15 - 00:17:18： こちらもぐらい具体例を見ていきたいとおもいます 00:17:18 - 00:17:24： 左上のパソコンを使っているうえが一般ユーザーになってこの方が 00:17:24 - 00:17:27： スワード変更したい場合 00:17:27 - 00:17:30： パスワード変更ページの 00:17:30 - 00:17:38： リンクを開いてそこの中でパスワードを入力してこの例だと abc てパスワード 00:17:38 - 00:17:43： でパスワード変更っていう処理をサーバに送ったらパスワードが変更されるという 00:17:43 - 00:17:45： システムがあるとします 00:17:45 - 00:17:47： でもこの状態だとを 00:17:47 - 00:17:53： 攻撃者がボタン押したら小汽車が容易のしたパスワードでパスワード変更3クエストを 00:17:53 - 00:17:56： 対象サーバーに送る 00:17:56 - 00:18:01： はなリングボタンを用意してそれを航空機会社にをさせることで 00:18:01 - 00:18:05： 被害者からしたらいいとせずにパスワードを変えられてしまう 00:18:05 - 00:18:08： またそのパスワードっていうのは 00:18:08 - 00:18:13： 恋路者が用意したパスワード部門でアカウントを持っておられる可能性が出てくると 00:18:13 - 00:18:14： いうものになります 00:18:14 - 00:18:17： これは悪魔のパスワードリーセぷのでいいですが 00:18:17 - 00:18:22： c サフはパソでリセットに限らず恋自社利用者の 00:18:22 - 00:18:26： 意図に反して強制的に処理を実行 00:18:26 - 00:18:32： でサーバ上の情報の価値替えが行われるものを指します 00:18:32 - 00:18:36： 原因と対策ですが原因は c surf 対策チケット 00:18:36 - 00:18:41： トークンと呼ばれたりするものがあるんですがそれを適切に発行医研修をしていない 00:18:41 - 00:18:45： またはそれと同等の c surf 対策がされていない 00:18:45 - 00:18:48： っというのが原因になります 00:18:48 - 00:18:54： 対策としてはちょうどのある施策対策チケットを付与して継承する 00:18:54 - 00:18:57： 人が挙げられます土曜書くとかっていう道 00:18:57 - 00:19:04： こちらが実際に対策をしたあとの流れになりま 00:19:04 - 00:19:09： まず一般ユーザを得ることはさっきと変わらなくてパスワードを変更したいときに変更 00:19:09 - 00:19:14： ページに遷移しますその時にサーバーから c surf トークン 00:19:14 - 00:19:19： と言われる予測困難なランダム文字列を 00:19:19 - 00:19:21： 業者側に付与します 00:19:21 - 00:19:25： パスワードを入力する時に 00:19:25 - 00:19:29： ここは先ほどと変わらなくていいのあのいいのパスワードを設定できるんですがその 00:19:29 - 00:19:35： パスワード変更するリクエストに一緒に c サフトークンの 00:19:35 - 00:19:38： 付与したランダムの文字列を一緒にサーバーに送る 00:19:38 - 00:19:42： さあバーガーはあらかじめ付与したトークン 00:19:42 - 00:19:46： も送られてきていることをチェン称して初めてパスワードをリセットするように 00:19:46 - 00:19:48： します 00:19:48 - 00:19:50： 猫の c surf トーク 00:19:50 - 00:19:56： まあ恋列車には予測できないランダムな文字列であるので 00:19:56 - 00:20:00： 恋路茶のしスタッフ攻撃はできなくなり 00:20:00 - 00:20:04： 実際にさっきと同様にパスワードを攻撃者が用意したパスワードで変更するような 00:20:04 - 00:20:11： リクエストを送信するばなんと鍛冶リンクを用意したとしてそれに両者がクリックして 00:20:11 - 00:20:16： も確かにクエスター飛ぶんですってどうその中に小さくトークがないので 00:20:16 - 00:20:22： 佐波川もちろん処理を実行しないという流れになります 00:20:22 - 00:20:28： レガシィソフト部日本的な対策例になり 00:20:28 - 00:20:34： はい今まではサバ子が行う対策を 00:20:34 - 00:20:39： 説明してきましたがここで少しブラウザ側が提供しているセキュリティ機構というのを 00:20:39 - 00:20:41： 触れておきたいと思います 00:20:41 - 00:20:44： 一つ目が聖護神ポリシーこれは 00:20:44 - 00:20:50： スキームし煙ての http https みたいなアソコの部分ですね 00:20:50 - 00:20:54： エートス止めポート番号も組 00:20:54 - 00:20:56： が異なる 00:20:56 - 00:21:01： 間ではドムの参照や通信の一部をチンし 00:21:01 - 00:21:05： していますこちらを聖護神ポリシーと呼びます 00:21:05 - 00:21:10： この3つのスチーム太め 00:21:10 - 00:21:15： ポート番号のむくみのことオリジンと呼んでいて同一のオリジンの場合は聖護神 00:21:15 - 00:21:20： 異なるオリジンの場合はクロスオリジンと呼んでいます 00:21:20 - 00:21:23： 御誓文レジンポリシーというのは 00:21:23 - 00:21:29： クロスおり人間の通信を溝の参照を禁止する機構セキュリティ機構に 00:21:31 - 00:21:34： they 体先ほども少し言葉としているてきた csp 00:21:34 - 00:21:40： コンテントセキュリティポリシーと言われるものですがこちらはサーバー細胞の web 00:21:40 - 00:21:46： アプリケーションがブラウザに対して一定の制約を課すことができる知能に 00:21:46 - 00:21:51： ますそれに反したちょうど web ブラウザはチェスしてブロックしたり 00:21:51 - 00:21:55： レポートを得られることを返したりすることができます 00:21:55 - 00:21:57： 具体ピッチにはあの 00:21:57 - 00:22:02： 色々出来ることはあるんですけど例えばしてしたスチャヴァスクリプト以外の読み込み 00:22:02 - 00:22:05： を天使するなども設定も出てたりします 00:22:05 - 00:22:12： それ以外の設定についてはここでは割愛しますがテーマの方は読んでみてください 00:22:12 - 00:22:17： それ以外にもヘッダーにセキュリティー1項 00:22:17 - 00:22:22： 月火機能を持つヘッダーというのがあって例えば xxs protection 00:22:23 - 00:22:28： -x 兵務オプションこれクリックジャッジングを防ぐものですね 00:22:28 - 00:22:34： xxs プロテクション xs を検知してブラウザ側で止める知能だったんですが 00:22:34 - 00:22:37： 補足にも書いてありますがこちらは 00:22:37 - 00:22:42： 現状を多くのブラウザでは 00:22:42 - 00:22:48： サポートしてないようになってきています 00:22:48 - 00:22:54： そしてクッキーですねクッキーの発行時には属性ともの設定できて 00:22:54 - 00:22:59： それをうまく設定することで製品することができるものがあります 00:22:59 - 00:23:02： 在的な姉で最近のもので言うと一番下に書いてある 00:23:02 - 00:23:09： セームサイト取られる属性があってこれをせ設定することで 00:23:09 - 00:23:17： クッキーが送信される先を制限することができます 00:23:17 - 00:23:22： じゃあまとめになりますが情報セキュリティとは機密性完全性可用性を維持すること 00:23:22 - 00:23:23： でした 00:23:23 - 00:23:27： べ尺性を作り込まない基本的な対策は 00:23:27 - 00:23:30： 今回スケールインジェクション xss あ 00:23:33 - 00:23:39： 紹介しましたがユーザーの入力が前半信用せずに実績のあるフレームワークとこの機構 00:23:39 - 00:23:40： を用いて 00:23:40 - 00:23:45： 季節にエスケープやサニタイズを行う必要があります 00:23:45 - 00:23:48： またリス本セットや潤 00:23:48 - 00:23:53： が web ブラウザが提供するセキュリティのところでも少し触れましたが一部脆弱 00:23:53 - 00:23:56： 性への緩和もできるものも 00:23:56 - 00:24:01： 良いをされていますがサポートがなくなるとかっていう時代の流れもありますので歌詞 00:24:01 - 00:24:03： はせずに 00:24:03 - 00:24:08： 根本的な対策はからの再度サーバサイドのウェブアプリケーションで対策を行う必要が 00:24:08 - 00:24:12： あります 00:24:12 - 00:24:15： こちら最後にお願いという形で書いてあるんですが 00:24:15 - 00:24:20： 弊社でサイモン都内で疲れ脆弱性情報っていうのは 00:24:20 - 00:24:23： 社員でも見れない人がいるがこの関係がある 00:24:23 - 00:24:28： チームしか見れない設定になっている極意情報に該当します 00:24:28 - 00:24:33： 皆さんが開発チームとかに配属されると自分自分に関係ある脆弱性情報とパワー 00:24:33 - 00:24:37： 過去のも含めて見えるようになる 00:24:37 - 00:24:41： と思いますが例えば日本とか方法とか 00:24:41 - 00:24:44： よくありがちなのがチェーンがついてないねコードのコメント 00:24:45 - 00:24:49： フィールドに賃金がついててもコードの近年がついていないとコメントが 00:24:49 - 00:24:51： 見えてしまうので 00:24:51 - 00:24:57： そういうオープンなバーでは再現手順とか含めた議論は 00:24:57 - 00:25:02： お控えいただきたいなと思っています 00:25:02 - 00:25:07： この後のページにはさんこん資料やはこの資料の補足 00:25:07 - 00:25:11： 逃亡のしていますのでお時間ある時に読んでください 00:25:11 - 00:25:13： それではこの後 00:25:13 - 00:25:19： a 集がありますのでそちらに進んでいただければと思いますお疲れ様でした