Q&A
わかりやすいご回答ありがとうございます。
コンサルに入ってもらいたいというのは、部内皆が思っていることだと思うので、
部内で声を上げて上司を動かしたいと思います。
正直サイトのセキュリティを考えるだけで、いっぱいいっぱいでコーディングが進まないので。
webサイト制作者(初心者)です。
サイトが完成した際に(まだ未完成)注意すべきセキュリティを書き出しているのですが、
・アプリケーションのセキュリティ
・Webサーバーのセキュリティ
・DBのセキュリティ
で、止まってしまっています。
少人数の会社ですのでサーバーエンジニアやセキュリティエンジニアがおらず、独学していくしか方法がありません。
上記の他に注意すべき点がありましたら、ご教授ください。
よろしくお願いします。
開発環境
django=2.2
pyhton=3.8
mysql=14.14 Distrib 5.7.31
回答3件
0
ざっくりしすぎていますが、「どういう脅威があるか」調べた上で「どこまで対策するか」を決めないといけません。全て対策必要かどうか、許容範囲含めて要件です。
ひとまずIPAのサイトや書籍を確認してください。
「安全なウェブサイトの作り方」など。
ただ、フレームワーク利用しているのでしたら一定以上は対応されているものが多いかとは思います。
いずれにしても「どこまでやるか」は決めてください。
投稿2020/11/26 00:55
編集2020/11/26 01:11
総合スコア80861
0
コードレベルの対応と、要件レベルのモノを分けて考える必要があります。
例えば、gasbombe さんの挙げている「SQLi、XSS、CSRF」はコード実装時のナレッジでほとんどの場合カバーでき、体系化され公開された情報も多いので独学が可能です。
しかし、m.ts10806 さんの挙げている「「どういう脅威があるか」調べた上で「どこまで対策するか」」はセキュリティ要件を決定する非常に大切な要素ですが、脅威分析の範囲であり、ほとんどの場合運用上直接的な脅威となるため一般公開されることはありません。
こちらを独学で学ぶのは非常に難しいです。
piyolog とかを見ると、ネット上で流通している情報が非常に薄いものであることに気が付けると思います。
~~
非常にざっくりしたものとしては「owasp top10」があり、実例としては「脆弱性対策情報データベース」等がありますが、学習には不向きな情報です。~~
まともな設計を行いたいのであれば、経験者を呼んでくるかコンサルに入ってもらう必要があります。
投稿2020/11/27 22:41
編集2020/11/30 23:28退会済みユーザー
総合スコア0
文脈としておかしなことを書いていたので、回答を加筆/修正しました。
消した部分は、どちらかというと「コード実装時のナレッジ」に関する記述にも関わらず、「脅威分析」の文脈で記述していました^^;申し訳ない。
0
Webアプリケーションの脆弱性診断などを業務でやっています。
Webアプリケーションで言えば、SQLi、XSS、CSRFを確実に押さえてください。
あとは権限の管理で、誰が何をできてはいけない、というのをちゃんと制御すること。
それ以外はまあ……ぶっちゃけ、目をつぶっても……。
使用するソフトウェアやライブラリはなるべく新しいものを使ってください。
お金を扱う場合など、サイトの性質によっては専門的な知識のある人が必要だと思います。
投稿2020/11/26 15:27
総合スコア204
ご回答ありがとうございます。
SQLi、XSS、CSRFについて、これから学習していきます。
幸いにも金銭の扱いはないので、そこは大丈夫かなと思います。
ソフトウェアやライブラリは問題回避のため、
最新より一つ古いバージョンを利用するのが会社の習慣になっているようなんですが、
そこは社内で話し合ってみようと思います。
>最新より一つ古いバージョン
そういう習慣もあるんですね。それは問題ないと思います。
数年前の脆弱性に対する攻撃とかが無差別に飛び交っているので、年単位で古いものは使わないようにという意味でした。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2020/11/26 00:57
退会済みユーザー
2020/11/26 01:05
2020/11/26 01:09