体系的に学ぶ 安全なweb アプリの作り方

今日から脆弱性について学んでいきます。

勉強するのはこの本！！
アマゾンクラウドエンジニアが選ぶ３５選に入りました！！
http://www.amazon.co.jp/%E4%BD%93%E7%B3%BB%E7%9A%84%E3%81%AB%E5%AD%A6%E3%81%B6-%E5%AE%89%E5%85%A8%E3%81%AAWeb%E3%82%A2%E3%83%97%E3%83%AA%E3%82%B1%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%AE%E4%BD%9C%E3%82%8A%E6%96%B9-%E8%84%86%E5%BC%B1%E6%80%A7%E3%81%8C%E7%94%9F%E3%81%BE%E3%82%8C%E3%82%8B%E5%8E%9F%E7%90%86%E3%81%A8%E5%AF%BE%E7%AD%96%E3%81%AE%E5%AE%9F%E8%B7%B5-%E5%BE%B3%E4%B8%B8-%E6%B5%A9/dp/4797361190

今日学んだことは以下の点です。

・HTTP
・セッション管理

①HTTPについてはVMwareを立ち上げて、fiddleというプロキシツールを用いて、勉強していきました。

◎URLが重要情報を含む場合refererヘッダにより、情報がリークする可能性がある。
➡なのでGETとPOSTを使い分ける

もし、、、、データ更新など副作用を伴うリクエストの場合
　　　　　　秘密情報を送信するとき　　　　　　　　　　　　➡POST
　　　　　　送信するデータの総量が多い場合

もし、、、　リソースの取得、副作用がない　➡GET

◎ブラウザから送信する値は書き換えることができる！！

◎HTTPはステートレスなので。認証の時のはデータを保持せず、ただインプットに反応してアウトプットを出す。
このときに渡す整理番号みたいなものがセッションID

しかし、　セッションIDがわかるとセッションハイジャックがおこり、された相手は情報を見られてしまう。　

➡開発ツールの提供するせっきょん管理機構を利用しよ！

◎クッキードメイン属性を設定しない　➡脆弱性の原因となる