#今日から脆弱性について学んでいきます。
今日学んだことは以下の点です。
・HTTP
・セッション管理
①HTTPについてはVMwareを立ち上げて、fiddleというプロキシツールを用いて、勉強していきました。
◎URLが重要情報を含む場合refererヘッダにより、情報がリークする可能性がある。
➡なのでGETとPOSTを使い分ける
もし、、、、データ更新など副作用を伴うリクエストの場合
秘密情報を送信するとき ➡POST
送信するデータの総量が多い場合
もし、、、 リソースの取得、副作用がない ➡GET
◎ブラウザから送信する値は書き換えることができる!!
◎HTTPはステートレスなので。認証の時のはデータを保持せず、ただインプットに反応してアウトプットを出す。
このときに渡す整理番号みたいなものがセッションID
しかし、 セッションIDがわかるとセッションハイジャックがおこり、された相手は情報を見られてしまう。
➡開発ツールの提供するせっきょん管理機構を利用しよ!
◎クッキードメイン属性を設定しない ➡脆弱性の原因となる