質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.50%

  • Laravel 5

    1889questions

    Laravel 5は、PHPフレームワークLaravelの最新バージョンで、2014年11月に発表予定です。ディレクトリ構造がが現行版より大幅に変更されるほか、メソッドインジェクションやFormRequestの利用が可能になります。

セキュリティ的な脆弱性を教えてほしいです。

解決済

回答 4

投稿

  • 評価
  • クリップ 2
  • VIEW 1,803

roooo

score 31

Laravel5.*で投稿共有サイトを作っています。
主な機能は、
会員画面での投稿ページはbootstrapのwysiwygを使って、ユーザーが自由に投稿できます。
フロント部分では、購読者がand検索やor検索ができます。

どこにでもありがちなサイトですが、laravelで作っているので、認証やSQLインジェクション等は多分大丈夫なのではないかと勝手に思っています。

localで開発しているのですが、間もなく完成しそうなので、サーバーに上げて脆弱性を洗い出したいと思っています。
堅実なソース記述や、このツールや手法だと、いいのではというお話を聞きたいです。
営業の人とも連携しているので月間100万ビューを見越しています。
何卒よろしくお願いいたします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • 退会済みユーザー

    2017/02/04 15:20

    こちらの質問が他のユーザから「問題・課題が含まれていない質問」という指摘を受けました
    teratailでは、漠然とした興味から票を募るような質問や、意見の主張をすることを目的とした投稿は推奨していません。
    「編集」ボタンから編集を行い、質問の意図や解決したい課題を明確に記述していただくと回答が得られやすくなります。

回答 4

checkベストアンサー

+4

質問文だけの情報だと、中々回答が難しいですね。。。「認証やSQLインジェクション等は多分大丈夫」といっても、例えば、認証にどのような機能が含まれているかが大事ですよね。パスワードポリシーやユーザーの権限設定の設計を誤れば、即ち脆弱性につながりかねません。

Web画面を提供しているのか、APIも提供するのかによっても注意するべき範囲が変わってくるでしょう。(APIを使用しているのであれば、認証に問題がないのかどうかとか…AccessTokenの扱い方とか…)
他にも、標準機能を変更している場合(例えばCSRFチェックを無効化してしまっている)等の場合も、脆弱性につながる恐れがあります。

例を挙げればきりがなくなってしまいます。ので、基本的なところを挙げてみると、例えば、下記のサイト等も参考になるのではないでしょうか。Laravel 5 でのセキュリティ対策 (PHP)
基礎的な部分はある程度、カバーされている様に見えます。

ただ、月間100万ビューを見越すのであれば、きちんと投資して脆弱性診断をかけるべきかと思います。
LAC社等は利用したこともありますが、Webサーバの設定も含め詳細なレポートを出してくれます。
Webアプリケーション診断
他にもアプリケーション診断をしてくれる会社は多くありますので、検討してみると良いのではないでしょうか。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

+3

端的に言いますが、これだけでは何も言えません

まず、セキュリティは「いちばん弱い箇所」が全体の強さを決定づけることになります。その「全体」には、プログラムだけではなく、それを載せるサーバー、さらには管理体制までもが含まれます。

たとえば、自分で書いたプログラムに何も不具合がなくても、サーバ側の脆弱性からサーバに侵入して悪さをする、というルートもありますし、コンピューター上での問題がなかったとしても、「パスワードのメモを貼ってある」、あるいは「数字4桁などの弱いパスワード」などの理由から管理者アカウントに入れるようでは、到底安全ではありません。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/02/04 15:17 編集

    ありがとうございます。
    >自分で書いたプログラム

    を対象としてご意見を頂ければ幸です。

    キャンセル

+2

プログラムだけに絞っても観点が多いので簡単には説明できないと思います。
私が関わったプロジェクトではIBMのツールを利用してセキュリティの脆弱性診断を行っていました。
IBM Security AppScan
静的/動的な解析が行えます。

ただ、月間100万ビューを見越したサービスを立ち上げるプロジェクトにもかかわらず完成間際になってここでセキュリティについて聞くということは、恐らく社内にセキュリティの専門家がいないということだと思うので、motuo様のおっしゃるとおり一度専門家のアドバイスを受けたほうがいいと思います。
コードのこういう記述を気をつけたほうがいい、というアドバイスをもらったところで何を持ってOKとするかを判断するのは難しいと思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/02/06 17:50

    ありがとうございます。
    >社内にセキュリティの専門家
    いません。
    参考にさせて頂きます。

    キャンセル

+1

私もあまり詳しくはないのですが、OWASP ZAPというオープンソースの脆弱性診断ソフトがあります。
このソフトを適切に使えば大体の穴は見えてくるようです。

ダウンロードサイト

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/02/06 17:51

    ありがとうございます。
    やはりOWASP ZAPは人気があるようですね。
    参考にさせて頂きます。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.50%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

  • 解決済

    Laravelを勉強するにあたっての前提知識について

    はじめまして、こんばんは 最近PHPを独学し、レベルとしては、初学者程度です。 コードは読めます。ただ、自分で簡単なサービス等作る場合は、まだまだネット等頼らなければ厳しところ

  • 受付中

    Laravel indexアクションにしかアクセスできない

    前提・実現したいこと ドットインストールの Laravel5入門 をやっています。 エラーが発生して先に進めません。 ここに質問したいことを詳細に書いてください 1

  • 受付中

    Laravel auth に関しての質問

    現在、Laravelの勉強をしているのですが他者のソースコードを読んでいてAuthまわりで分からないことがあり、質問いたしました。 =====================

  • 解決済

    laravel-Excelについて

    前提 laravel5.1使用 Excel::loadで私が作ったテンプレのExcelファイルを読み込み、 DBの値をセルにセットしてダウンロードするシステム テン

  • 解決済

    LaravelのモデルのIDは連番で大丈夫なのか

    たとえばLaravelでUserモデルを作り、次のようにしてユーザページへアクセスするサービスを考えます。 http://example.com/user/1 (1の部分は

  • 解決済

    php artisan migrate でのエラー

    laravel5 で認証画面を作成中です。 ubuntu16.04 php7.0  最終的にsqlserverに接続が目標です。 php artisan migrate  と打

  • 受付中

    laravel 決済機能

    現在、laravelでwebアプリケーションを作成しています。 決済機能を設けたいのですが、何か方法などお教えいただけませんでしょうか?

  • 解決済

    Laravelで使えるメールアドレスに対して自分のアバター画像を登録するGravatarのようなサー...

    Laravelで使えるメールアドレスに対して自分のアバター画像を登録するGravatarのようなサービスを探しています。 検索しても自力で見つけられなかったので (これかなっていう

同じタグがついた質問を見る

  • Laravel 5

    1889questions

    Laravel 5は、PHPフレームワークLaravelの最新バージョンで、2014年11月に発表予定です。ディレクトリ構造がが現行版より大幅に変更されるほか、メソッドインジェクションやFormRequestの利用が可能になります。