PHPカンファレンス関西に参加してきました。私のセッションの資料をPDFまたはSlideshareで見れるようにしました。
- PHPにないセキュリティ機能(PDF)
ここに書いたPHPに無い機能ですが、他の言語/フレームワークでも無い物の多いです。PHPに限った話しではありません。言語/ライブラリに潜む脆弱性もPHPに限った話しではありません。他の言語やPHP+フレームワークで利用されている方も十分注意してください。
このスライドを見れば何故私が「出力のセキュリティ対策としてエスケープ(エンコード)を第一に考えるべき」と解説しているのか解ると思います。
「入力をセキュリティ対策としてバリデーションしない」「出力のエスケープをセキュリティ対策として考えない」これらは攻撃者と一部のセキュリティ業者を喜ばせるだけで、開発者とシステムの利用者を不幸にするだけです。
参考:
- 標準と基本概念から学ぶ正しいセキュリティの基礎知識
- 開発者は必修、SANS TOP 25の怪物的なセキュリティ対策
- CERT Top 10 Secure Coding Standard
- OWASP Secure Coding Practices – Quick Reference Guide
- エンジニア必須の概念 – 契約による設計と信頼境界線