$30 off During Our Annual Pro Sale. View Details »

「フレームワークを使っていれば脆弱性は出ない」って本当? / Is it true that ...

Avatar for thatblue thatblue
March 16, 2019
Technology
0
100

「フレームワークを使っていれば脆弱性は出ない」って本当? / Is it true that Framework guards us from all vulnerability?

BSides Sendai 2019発表資料

Avatar for thatblue

thatblue

March 16, 2019
Tweet

More Decks by thatblue

See All by thatblue
Kaigi on Rails 2025 お土産話 / Trip Stories of Kaigi on Rails 2025
Avatar for thatblue thatblue
0
27
Stimulusのすすめ/Introduction to Stimulus
Avatar for thatblue thatblue
0
26
RubyKaigi 2025 お土産話 / Trip Stories of RubyKaigi 2025
Avatar for thatblue thatblue
0
9
発表資料テンプレート / My slide template
Avatar for thatblue thatblue
0
440
GitHub Pagesで構築したブログをスマホ対応させてみた / make mobile-compatible with lightweight css framework
Avatar for thatblue thatblue
0
340
Sendai.rbコミュニティ紹介 2022 / Introduction of Sendai.rb 2022
Avatar for thatblue thatblue
0
91
Rails Girls Sendaiコミュニティ紹介2022 / Introduction of Rails Girls Sendai 2022
Avatar for thatblue thatblue
0
110
競技プログラミングへのお誘い~私と競プロ友達になってください / Invitation to Competition Programming
Avatar for thatblue thatblue
1
790
好みのコーヒー探し / find my favorite coffee
Avatar for thatblue thatblue
0
560

Other Decks in Technology

See All in Technology
re:Invent 2025 ふりかえり 生成AI版
Avatar for TakaakiKakei takaakikakei
1
210
[デモです] NotebookLM で作ったスライドの例
Avatar for Takaaki Tanaka kongmingstrap
0
150
AI駆動開発における設計思想 認知負荷を下げるフロントエンドアーキテクチャ/ 20251211 Teppei Hanai
Avatar for SHIFT EVOLVE shift_evolve
PRO
2
390
エンジニアとPMのドメイン知識の溝をなくす、 AIネイティブな開発プロセス
Avatar for Michiru Kato applism118
4
1.3k
Kubernetes Multi-tenancy: Principles and Practices for Large Scale Internal Platforms
Avatar for hhiroshell hhiroshell
0
120
第4回 「メタデータ通り」 リアル開催
Avatar for データ横丁 datayokocho
0
130
Reinforcement Fine-tuning 基礎〜実践まで
Avatar for Morita ch6noota
0
190
業務のトイルをバスターせよ 〜AI時代の生存戦略〜
Avatar for staka staka121
PRO
2
200
AIの長期記憶と短期記憶の違いについてAgentCoreを例に深掘ってみた
Avatar for やくも yakumo
3
310
re:Inventで気になったサービスを10分でいけるところまでお話しします
Avatar for Yuuki Yamashita yama3133
1
120
Lambdaの常識はどう変わる?!re:Invent 2025 before after
Avatar for TomoyaIwata iwatatomoya
1
560
AWSセキュリティアップデートとAWSを育てる話
Avatar for cm-usuda-keisuke cmusudakeisuke
0
280

Featured

See All Featured
Context Engineering - Making Every Token Count
Avatar for Addy Osmani addyosmani
9
510
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
Avatar for Marc Duiker marcduiker
35
2.3k
Designing Dashboards & Data Visualisations in Web Apps
Avatar for Des Traynor destraynor
231
54k
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
791
250k
The World Runs on Bad Software
Avatar for Brandon Keepers bkeepers
PRO
72
12k
ReactJS: Keep Simple. Everything can be a component!
Avatar for Pedro Nauck pedronauck
666
130k
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
25
1.6k
Why You Should Never Use an ORM
Avatar for John Nunemaker jnunemaker
PRO
61
9.6k
Designing for Performance
Avatar for Lara Hogan lara
610
69k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
37
2.6k
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
45
8.3k
Leading Effective Engineering Teams in the AI Era
Avatar for Addy Osmani addyosmani
8
1.3k

Transcript

  1. 「フレームワークを使っていれば 脆弱性は出ない」って本当? そのレール、本当に乗ってますか #BSidesSendai BSides Sendai 2019 今野夕貴(@thatblue_plus)

  2. とりあえず自己紹介 だいたい仙台出身、ほぼ仙台在住 学生時代を過ごした会津若松は 第二の故郷 新卒から10年くらい、ソフトウェ アエンジニア的なお仕事をしてい ます PHPやJavaを中心に、サーバサイ ドとかWebアプリケーションと呼 ばれるあたりの分野をやっていま

    す ガルパン大好きなんですが近くにあ んまり語り合える人がいないのでお 友達になってください

  3. こんな人に知ってほしい 業務での開発が未経験だけど、何か自分でWeb サービスの開発をしようとしている人 「脆弱性ってよくわからないけど、フレームワー ク使ってたら大丈夫でしょ」って思っている初 級エンジニア〜経験浅めのリードエンジニア もしくは上記のようなエンジニアを指導する 立場の人へ、指針の参考として 主にWebアプリケーション開発における、以下のような立 場の人

  4. 「フレームワークを使っていれば 脆弱性は出ない」って本当? 今回は 「フレームワーク=Webアプリケーションフレームワーク」 としてご理解ください

  5. 半分は本当だけど 半分は間違ってると思う

  6. どのような攻撃からどう守っているのかを知らなければ (セキュリティ的な)意味は半減します 冨樫義博「幽☆遊☆白書 14巻」(集英社、1993年)

  7. 以上

  8. ……では登壇する意味が ないので

  9. フレームワークを使っていても 脆弱性が入り込んでしまうポイント フレームワークやライブラリの選定ミス 設定ミス フレームワークの思想を無視した実装 フレームワークではどうしようもないところ のカバー漏れ

  10. フレームワークや ライブラリの選定ミス

  11. どうやって選ぶか RubyにおけるRailsのような、言語における「鉄板」があるなら従う 使用者数が少ないフレームワークは自信を持って選べるようになっ てからで十分 Google検索などで評判を調べてみる 少なくとも開発コミュニティが活発であること GitHubのstar数 中心になって開発している人がどんな人なのか 一万歩譲ってもセキュリティ対応期間中のもの、可能な限りリリース 済みの新しいバージョンを使う

  12. 評判の信ぴょう性を判断するには 結局自分が知識を持つしかない

  13. とは言え、フレームワーク名で検索してサジェスト 上位に「脆弱性」って出てくるものは避けましょう フレームワークの名誉のため、モザイク処理済

  14. 設定ミス

  15. デフォルト設定が安全側に倒れていないケース 設定変更のリスク判断が十分に出来ていないケー ス 設定の組み合わせによって問題が起きるケー ス

  16. デフォルト設定が 安全側に倒れていないケース 例: FuelPHP(1.8のmasterで確認)のデフォル ト設定ではCSRFトークンのチェックをしてお らず、オプション機能扱いになっている 放っておいた場合何が起こるかは「はまち ちゃん事件」で検索 このときは勝手に日記を投稿されるだけで 済んだから良かった(!?)ものの、勝手に商品

    を購入させるようなことになってたら……

  17. 設定変更のリスク判断が 十分にできていないケース DBなどに登録したHTMLをそのまま書き出した い、という要件 書き出す箇所だけエスケープを外すべきと ころ、全体のエスケープ設定を外してしま う

  18. フレームワークの思想を 無視した実装

  19. 安全に実装する方法が分からない 「自分がやりたいことはフレームワークでサ ポートされていない」と思い込み、フレーム ワークを使わない実装を始めてしまう

  20. 安全に実装する方法が 分からない 是非が判断できないため、Google検索で見つ けた問題のある実装方法でそのまま済ませてし まう そもそも公式ドキュメントを読まない 読み慣れないと望む情報にたどり着くのが 大変なのはとてもよくわかる、が、読もう!

  21. 「やりたいことがフレームワーク でサポートされていない」という 思い込み 経験の浅いエンジニアにありがち フォームデータの多次元配列データに対応していないと思い 込み(というかそもそもそういう概念を知らず)、自前でPOST パラメータを読み出す処理を作り込んでしまった フレームワークのバリデーション機能でフォローできな くなるので、入力の検証が地獄になる 参考元のコードに求めているパターンの実装がなく、上長に

    相談しても「もっとよく見て」と適当にあしらわれる(血涙) というわけで先輩方はどうかサポートしてあげてください

  22. ここまでは、 ちゃんと「レールに乗って」いれば 回避できる話

  23. フレームワークでは どうしようもないところの カバー漏れ

  24. アクセスログを取ろうとして、リクエストパ ラメータに含まれていた平文のパスワードも そのままログに書き出してしまう 独自のバリデーションルールを作ろうとして、 正規表現をミスする そして問題のある入力を受け付けてしまう

  25. 余談:パスワードを平文で 保存してはいけない理由?

  26. フレームワークなしでもそこそこセキュアに 組めるくらいの理解はないと正直厳しいと思っている 結局ここに戻ってくる 冨樫義博「幽☆遊☆白書 14巻」(集英社、1993年)

  27. 最低リードエンジニアくらいは、 とは思うのですが

  28. できれば、みんなで勉強して頑張ろう 把握してるごく少人数で全部カバーとか死んじゃいます

  29. みんな読もう、徳丸本 正式なタイトルは「体系的に学ぶ 安全なWebアプリケーションの作り方」 第二版がおすすめ

  30. 正しくレールに乗って ご安全に!