セキュリティ的な脆弱性を教えてほしいです。
解決済
回答 4
投稿
- 評価
- クリップ 2
- VIEW 6,000
Laravel5.*で投稿共有サイトを作っています。
主な機能は、
会員画面での投稿ページはbootstrapのwysiwygを使って、ユーザーが自由に投稿できます。
フロント部分では、購読者がand検索やor検索ができます。
どこにでもありがちなサイトですが、laravelで作っているので、認証やSQLインジェクション等は多分大丈夫なのではないかと勝手に思っています。
localで開発しているのですが、間もなく完成しそうなので、サーバーに上げて脆弱性を洗い出したいと思っています。
堅実なソース記述や、このツールや手法だと、いいのではというお話を聞きたいです。
営業の人とも連携しているので月間100万ビューを見越しています。
何卒よろしくお願いいたします。
-
気になる質問をクリップする
クリップした質問は、後からいつでもマイページで確認できます。
またクリップした質問に回答があった際、通知やメールを受け取ることができます。
クリップを取り消します
-
良い質問の評価を上げる
以下のような質問は評価を上げましょう
- 質問内容が明確
- 自分も答えを知りたい
- 質問者以外のユーザにも役立つ
評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。
質問の評価を上げたことを取り消します
-
評価を下げられる数の上限に達しました
評価を下げることができません
- 1日5回まで評価を下げられます
- 1日に1ユーザに対して2回まで評価を下げられます
質問の評価を下げる
teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。
- プログラミングに関係のない質問
- やってほしいことだけを記載した丸投げの質問
- 問題・課題が含まれていない質問
- 意図的に内容が抹消された質問
- 過去に投稿した質問と同じ内容の質問
- 広告と受け取られるような投稿
評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。
質問の評価を下げたことを取り消します
この機能は開放されていません
評価を下げる条件を満たしてません
質問の評価を下げる機能の利用条件
この機能を利用するためには、以下の事項を行う必要があります。
- 質問回答など一定の行動
-
メールアドレスの認証
メールアドレスの認証
-
質問評価に関するヘルプページの閲覧
質問評価に関するヘルプページの閲覧
checkベストアンサー
+4
質問文だけの情報だと、中々回答が難しいですね。。。「認証やSQLインジェクション等は多分大丈夫」といっても、例えば、認証にどのような機能が含まれているかが大事ですよね。パスワードポリシーやユーザーの権限設定の設計を誤れば、即ち脆弱性につながりかねません。
Web画面を提供しているのか、APIも提供するのかによっても注意するべき範囲が変わってくるでしょう。(APIを使用しているのであれば、認証に問題がないのかどうかとか…AccessTokenの扱い方とか…)
他にも、標準機能を変更している場合(例えばCSRFチェックを無効化してしまっている)等の場合も、脆弱性につながる恐れがあります。
例を挙げればきりがなくなってしまいます。ので、基本的なところを挙げてみると、例えば、下記のサイト等も参考になるのではないでしょうか。Laravel 5 でのセキュリティ対策 (PHP)
基礎的な部分はある程度、カバーされている様に見えます。
ただ、月間100万ビューを見越すのであれば、きちんと投資して脆弱性診断をかけるべきかと思います。
LAC社等は利用したこともありますが、Webサーバの設定も含め詳細なレポートを出してくれます。
Webアプリケーション診断
他にもアプリケーション診断をしてくれる会社は多くありますので、検討してみると良いのではないでしょうか。
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
+3
端的に言いますが、これだけでは何も言えません。
まず、セキュリティは「いちばん弱い箇所」が全体の強さを決定づけることになります。その「全体」には、プログラムだけではなく、それを載せるサーバー、さらには管理体制までもが含まれます。
たとえば、自分で書いたプログラムに何も不具合がなくても、サーバ側の脆弱性からサーバに侵入して悪さをする、というルートもありますし、コンピューター上での問題がなかったとしても、「パスワードのメモを貼ってある」、あるいは「数字4桁などの弱いパスワード」などの理由から管理者アカウントに入れるようでは、到底安全ではありません。
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
+2
プログラムだけに絞っても観点が多いので簡単には説明できないと思います。
私が関わったプロジェクトではIBMのツールを利用してセキュリティの脆弱性診断を行っていました。
IBM Security AppScan
静的/動的な解析が行えます。
ただ、月間100万ビューを見越したサービスを立ち上げるプロジェクトにもかかわらず完成間際になってここでセキュリティについて聞くということは、恐らく社内にセキュリティの専門家がいないということだと思うので、motuo様のおっしゃるとおり一度専門家のアドバイスを受けたほうがいいと思います。
コードのこういう記述を気をつけたほうがいい、というアドバイスをもらったところで何を持ってOKとするかを判断するのは難しいと思います。
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
15分調べてもわからないことは、teratailで質問しよう!
- ただいまの回答率 88.09%
- 質問をまとめることで、思考を整理して素早く解決
- テンプレート機能で、簡単に質問をまとめられる
質問への追記・修正、ベストアンサー選択の依頼
2017/02/04 15:20
こちらの質問が他のユーザから「問題・課題が含まれていない質問」という指摘を受けました
teratailでは、漠然とした興味から票を募るような質問や、意見の主張をすることを目的とした投稿は推奨していません。
「編集」ボタンから編集を行い、質問の意図や解決したい課題を明確に記述していただくと回答が得られやすくなります。