本日読了。
基本知識集。
- Same-Origin PolicyとCORS。
- XSS(ユーザ入力をもとにHTLM生成するサイトで、不正なスクリプトを実行させる)防止。適切なDOM API利用、URLスキーム限定、DOMPurify、CSP(Content Security Policy)。
- CSRF(罠サイトにアクセスさせることで、目的サイトのログインCookieを盗み、不正送金などをさせる→本来の目的サイトの機能を不正利用できる)防止。ワンタイムトークン、Double Submit Cookie、SameSite Cookie、Originヘッダ、CORS。
- クリックジャッキング(透明なiflameで攻撃対象のWebアプリケーションを配置して、ユーザにクリックさせる)防止。X-Frame-Options。
- オープンリダイレクト(外部パラメータでリダイレクトする脆弱性があるサイトを利用して、罠サイトにリダイレクトさせる)の防止。URL検査。
- パスワード認証への攻撃。
- ライブラリのセキュリティリスクへの対策。GitHub Dipendabotなど。
