[PHP][Security] PHPカンファレンス北海道に行って来ました

PHカンファレンス北海道に行って来ました。
目的は徳丸さんのセッションです。

---

徳丸本に載っていないWebアプリケーションセキュリティのメモ

Webアプリケーションとキャッシュ

色々なレイヤで高速化等のためにキャッシュを利用する - フレームワーク - リバースプロキシー

別人問題

• 別人のキャッシュされた情報が見れてしまう問題

OpenPNEのキャッシュ制御問題のDEMO

• 現在は修正済み
• DEMO用に以前のバージョンを利用している

はてなブックマークのDEMO

• ブラウザのキャッシュで前の人のデータが見える

これは脆弱性なのか？

• ブラウザやキャッシュサーバの問題
• でもWebアプリ側で対応したほうが安心
  • cache-control: no-store
  • pragma: no-cache

クリックジャッキング攻撃対策

• X-Frame-Optionsを使う

evalインジェクション対策

• JSONのレスポンスを返すときに正しいヘッダーを追加する
  • Content-Type: application/json; charset=utf8
  • X-Content-Type-Options: nosniff

JSONハイジャック対策

• XMLHttpRequest時に特別なヘッダをいれておいてチェックする
  • こっちを推奨
• JSONの中にfor(;;)を入れておく