[PHP][Security] PHPカンファレンス北海道に行って来ました
PHカンファレンス北海道に行って来ました。
目的は徳丸さんのセッションです。
徳丸本に載っていないWebアプリケーションセキュリティのメモ
Webアプリケーションとキャッシュ
色々なレイヤで高速化等のためにキャッシュを利用する - フレームワーク - リバースプロキシー
別人問題
- 別人のキャッシュされた情報が見れてしまう問題
OpenPNEのキャッシュ制御問題のDEMO
- 現在は修正済み
- DEMO用に以前のバージョンを利用している
はてなブックマークのDEMO
- ブラウザのキャッシュで前の人のデータが見える
これは脆弱性なのか?
- ブラウザやキャッシュサーバの問題
- でもWebアプリ側で対応したほうが安心
- cache-control: no-store
- pragma: no-cache
クリックジャッキング攻撃対策
- X-Frame-Optionsを使う
evalインジェクション対策
- JSONのレスポンスを返すときに正しいヘッダーを追加する
- Content-Type: application/json; charset=utf8
- X-Content-Type-Options: nosniff
JSONハイジャック対策
- XMLHttpRequest時に特別なヘッダをいれておいてチェックする
- こっちを推奨
- JSONの中に
for(;;)
を入れておく