wasbook reading #7
「体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践」読書会の第7回。
まだまだ続くよwasbook。
今回読んだのは以下の範囲。
- 4章 Webアプリケーションの機能別に見るセキュリティバグ
- 4.13 インクルードにまつわる問題
- 4.14 evalにまつわる問題
- 4.15 共有資源に関する問題
これまでののメモはこちら。
- wasbook reading #1 - techlog
- wasbook reading #2 - techlog
- wasbook reading #3 - techlog
- wasbook reading #4 - techlog
- wasbook reading #5 - techlog
- wasbook reading #6 - techlog
4章 Webアプリケーションの機能別に見るセキュリティバグ
4.13 インクルードにまつわる問題
リモート・ファイルインクルード攻撃って、そもそもリモート・ファイルインクルードの脆弱性くらいに感じるのだけど…。外部で公開されてるPHPファイルをインクルードして表示するって、いったいなぜこんな仕様ができたのだろう。謎だ。
4.14 evalにまつわる問題
evalはいろんな言語にあるし、十分気をつけて使わないとね。
僕はJavaで育ってきたので、そもそもevalの使い所がよくわからない。これはevalじゃないと厳しいなぁ、というのが思い浮かばない。けっこう普通に使われているのかな。
まとめ
今回はちょっとあっさり目だった。本当は5章もちょっと読んでいたけど、切りが悪いので次回に回す。
これでやっと4章が終わった。長く険しい道程だった。嬉しい。
体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践
posted with amazlet at 11.05.17