質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
Laravel 5

Laravel 5は、PHPフレームワークLaravelの最新バージョンで、2014年11月に発表予定です。ディレクトリ構造がが現行版より大幅に変更されるほか、メソッドインジェクションやFormRequestの利用が可能になります。

Q&A

解決済

4回答

7389閲覧

セキュリティ的な脆弱性を教えてほしいです。

roooo

総合スコア57

Laravel 5

Laravel 5は、PHPフレームワークLaravelの最新バージョンで、2014年11月に発表予定です。ディレクトリ構造がが現行版より大幅に変更されるほか、メソッドインジェクションやFormRequestの利用が可能になります。

1グッド

2クリップ

投稿2017/02/03 17:10

Laravel5.*で投稿共有サイトを作っています。
主な機能は、
会員画面での投稿ページはbootstrapのwysiwygを使って、ユーザーが自由に投稿できます。
フロント部分では、購読者がand検索やor検索ができます。

どこにでもありがちなサイトですが、laravelで作っているので、認証やSQLインジェクション等は多分大丈夫なのではないかと勝手に思っています。

localで開発しているのですが、間もなく完成しそうなので、サーバーに上げて脆弱性を洗い出したいと思っています。
堅実なソース記述や、このツールや手法だと、いいのではというお話を聞きたいです。
営業の人とも連携しているので月間100万ビューを見越しています。
何卒よろしくお願いいたします。

natady👍を押しています

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答4

0

ベストアンサー

質問文だけの情報だと、中々回答が難しいですね。。。「認証やSQLインジェクション等は多分大丈夫」といっても、例えば、認証にどのような機能が含まれているかが大事ですよね。パスワードポリシーやユーザーの権限設定の設計を誤れば、即ち脆弱性につながりかねません。

Web画面を提供しているのか、APIも提供するのかによっても注意するべき範囲が変わってくるでしょう。(APIを使用しているのであれば、認証に問題がないのかどうかとか…AccessTokenの扱い方とか…)
他にも、標準機能を変更している場合(例えばCSRFチェックを無効化してしまっている)等の場合も、脆弱性につながる恐れがあります。

例を挙げればきりがなくなってしまいます。ので、基本的なところを挙げてみると、例えば、下記のサイト等も参考になるのではないでしょうか。Laravel 5 でのセキュリティ対策 (PHP)
基礎的な部分はある程度、カバーされている様に見えます。

ただ、月間100万ビューを見越すのであれば、きちんと投資して脆弱性診断をかけるべきかと思います。
LAC社等は利用したこともありますが、Webサーバの設定も含め詳細なレポートを出してくれます。
Webアプリケーション診断
他にもアプリケーション診断をしてくれる会社は多くありますので、検討してみると良いのではないでしょうか。

投稿2017/02/06 07:35

motuo

総合スコア3027

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

端的に言いますが、これだけでは何も言えません

まず、セキュリティは「いちばん弱い箇所」が全体の強さを決定づけることになります。その「全体」には、プログラムだけではなく、それを載せるサーバー、さらには管理体制までもが含まれます。

たとえば、自分で書いたプログラムに何も不具合がなくても、サーバ側の脆弱性からサーバに侵入して悪さをする、というルートもありますし、コンピューター上での問題がなかったとしても、「パスワードのメモを貼ってある」、あるいは「数字4桁などの弱いパスワード」などの理由から管理者アカウントに入れるようでは、到底安全ではありません。

投稿2017/02/04 00:59

maisumakun

総合スコア145121

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

roooo

2017/02/23 20:14 編集

ありがとうございます。 >自分で書いたプログラム を対象としてご意見を頂ければ幸です。
guest

0

プログラムだけに絞っても観点が多いので簡単には説明できないと思います。
私が関わったプロジェクトではIBMのツールを利用してセキュリティの脆弱性診断を行っていました。
IBM Security AppScan
静的/動的な解析が行えます。

ただ、月間100万ビューを見越したサービスを立ち上げるプロジェクトにもかかわらず完成間際になってここでセキュリティについて聞くということは、恐らく社内にセキュリティの専門家がいないということだと思うので、motuo様のおっしゃるとおり一度専門家のアドバイスを受けたほうがいいと思います。
コードのこういう記述を気をつけたほうがいい、というアドバイスをもらったところで何を持ってOKとするかを判断するのは難しいと思います。

投稿2017/02/06 08:16

koronatail

総合スコア433

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

roooo

2017/02/06 08:50

ありがとうございます。 >社内にセキュリティの専門家 いません。 参考にさせて頂きます。
guest

0

私もあまり詳しくはないのですが、OWASP ZAPというオープンソースの脆弱性診断ソフトがあります。
このソフトを適切に使えば大体の穴は見えてくるようです。

ダウンロードサイト

投稿2017/02/05 22:55

natady

総合スコア606

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

roooo

2017/02/06 08:51

ありがとうございます。 やはりOWASP ZAPは人気があるようですね。 参考にさせて頂きます。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問