実践的なセキュアコーディング

不十分なロギングとモニタリング

ロギングとモニタリングは、何か問題が発生したときに後回しにされがちですが、実際には、適切なロギングとモニタリングを確実に行わないと、非常に大きなコストがかかります。極端な言い方をすれば、インシデントが発生した場合（それがセキュリティに関連するものであるかどうかにかかわらず）、ログがほとんどない、あるいはまったくない場合、実際に何が起こったのかを把握することが不可能になります。もう一方の極端な例では、データを記録しすぎるとプライバシーの問題につながり、規制当局との問題に発展する可能性があります。不十分なログと監視を避けるためのベストプラクティスについては、ガイドラインをお読みください。

既知の脆弱性を持つコンポーネントの使用

ほとんどのアプリケーションは、大量のサードパーティ製コンポーネントを利用している。これらのコンポーネントは、ロギング、テンプレート化、データベースアクセスなど、あらゆるものを提供する。そのため、ソフトウェアの開発は非常に簡単で、多くの時間を節約することができます。しかし、これらのコンポーネントは人が作ったものでもあり、必然的に脆弱性を含むものもあるということです。詳しくはガイドラインをお読みください。

SQLインジェクション

SQLインジェクション(SQLi)は、SQL文にコードを注入してアプリケーションを攻撃し、重要な情報を収集します。ウェブセキュリティの脆弱性の一つです。データベースを操作し、そこから重要な情報を引き出すハッキングの最も一般的な手法です。

サーバーサイドリクエストフォージェリ

サーバサイドリクエストフォージェリの脆弱性は、ユーザがアプリケーションに攻撃者が決めたドメインへの HTTP リクエストを行わせることができる場合に発生します。アプリケーションがプライベート/内部ネットワークにアクセスできる場合、攻撃者はアプリケーションに内部サーバへの リクエストを行わせることもできます。本ガイドラインでは、この脆弱性が実際にどのようなものであるかをよりよく理解するために、いくつかの例 を挙げて詳しく見ていきます。

セキュリティの設定ミス

セキュリティの誤設定とは、悪いコードではなく、アプリケーションのコンフィギュレーション設定に起因する一般的な脆弱性を網羅する、やや包括的な用語です。これは広範なテーマであり、あなたの技術スタックのような要因に大きく依存します。多くの場合、これらの問題への対処は、設定ファイルやコードの1行を変更するような単純に見えるものですが、これらの脆弱性の影響や結果は深刻なものになる可能性があります。この脆弱性とその緩和方法についての詳細は、ガイドラインをお読みください。

パスワード保管

アプリケーションがユーザーを認証する場合、パスワードを扱う可能性もあります。ユーザのパスワードを扱うことは本当に大きな問題であり、それを適切に扱うことはさらに大きな問題です。アプリケーションが攻撃され、ユーザーのパスワードがインターネット上に流出し、すべての人に見られることより悪いシナリオを想像するのは難しい。パスワードはどのようにして安全に、ベストプラクティスに従って保管できるのでしょうか？いくつかの方法を見てみましょう。

セキュリティの設定ミス - XXE 詳細

XML eXternal Entities」(XXE)脆弱性クラスは、XMLパーサーに関わるセキュリティの誤設定である。XML 標準には、ファイルや URL などの「エンティティ」を参照する方法が含まれています。パーサが外部エンティティを完全に解決することは、XML 文書が潜在的な攻撃者にファイルやその他の機密情報を開示することにつながることを意味します。詳しくはガイドラインの全文をお読みください。

質量の割り当て

Mass Assignment は、API エンドポイントが、関連するオブジェクトのどのプロパティをユーザが変更できるかを制限しない脆弱性です。この脆弱性は、HTTP パラメータのモデルへの自動的なバインディングを可能にするライブラリ/フレームワークを使用する場合に発生する可能性があります。リクエストからオブジェクトへの自動バインディングの使用は、時には非常に便利ですが、ユーザがアクセスすることを意図していないプロパティをモデルが持っている場合、セキュリティの問題につながる可能性もあります。詳しくはガイドラインをお読みください。

インジェクション - パストラバーサル

パストラバーサルは、インジェクション脆弱性のもう一つのかなり一般的なタイプです。URIの構築（URLであれ、ファイルパスであれ、その他のものであれ）が、完全に解決されたパスが意図したパスのルート外を指していないことを適切に保証していない場合に起こりがちです。パストラバーサル脆弱性の影響は、トラバーサルが発生するコンテキストと、行われた全体的なハードニングに大きく依存します。詳しくはガイドラインを読んでください。

インジェクション - XSS

XSSとしても知られるクロスサイト・スクリプティングは、インジェクション脆弱性のもう1つのタイプで、攻撃者が制御するスクリプトを他のユーザーのブラウザで評価させるものです。XSSは、HTML/JavaScriptインジェクションの脆弱性とも考えられます。遭遇する可能性のあるXSSのタイプを見てみましょう。

ファイルのアップロード

アプリケーションは、ある時点で、ユーザがアプリケーション内のどこかにファイルをアップロードできるようにする必 要が生じることがよくあります（使用するため、あるいは単に保存するため）。単純なことのように見えますが、この機能をどのように実装するかは、ファイルアップロードの処理方法に関連する潜在的なリスクのために、かなり重要になる場合があります。詳しくはガイドラインを読んでください。

インジェクション101

最もよく知られている脆弱性のクラスのひとつは、インジェクション脆弱性である：SQLインジェクションだ。技術界でSQLインジェクションを聞かないのは難しい。インジェクションの欠陥を簡単に紹介するので、読んでみてほしい。

認証と認可

コマンド・インジェクション

コマンド・インジェクション単体を見てみよう。ここでは、コマンド・インジェクションが実際にどのようなものかを理解しやすいように、いくつかの例を取り上げます。簡単に復習しておくと、コマンド・インジェクションの脆弱性は、ユーザ入力がオペレーティング・システムのコマンドの一部を使用する場合に発生します。詳しくはガイドラインを読んでください。