Upgrade to Pro — share decks privately, control downloads, hide ads and more …

“それなりに”安全なWebアプリケーションの作り方

Avatar for Ryusei Ishikawa Ryusei Ishikawa
November 12, 2025
Technology
0
510

 “それなりに”安全なWebアプリケーションの作り方

TechBull LT&交流会!#3 で使用したLTスライドです。
https://techbull.connpass.com/event/368936/

Avatar for Ryusei Ishikawa

Ryusei Ishikawa

November 12, 2025
Tweet

More Decks by Ryusei Ishikawa

See All by Ryusei Ishikawa
DIVER OSINT CTF を支える技術 2025
Avatar for Ryusei Ishikawa xryuseix
0
100
OSINT CTFの リアル作問環境を体験してみよう!
Avatar for Ryusei Ishikawa xryuseix
0
270
OSINT CTFを支える技術
Avatar for Ryusei Ishikawa xryuseix
1
880
HTTP通信を書きかえてみよう
Avatar for Ryusei Ishikawa xryuseix
0
76
Webアプリケーションのユーザ入力検証
Avatar for Ryusei Ishikawa xryuseix
3
1.3k
Privateリポジトリで 管理しているソースコードを 無料でGitHub Pagesに公開する
Avatar for Ryusei Ishikawa xryuseix
0
3.9k
CTFにおけるOSINT問題作問の難しさ
Avatar for Ryusei Ishikawa xryuseix
0
790
「Reactはビルド時にコメントが消えるから」と言ってコメントに💩を書いてはいけない
Avatar for Ryusei Ishikawa xryuseix
0
1.4k

Other Decks in Technology

See All in Technology
産業的変化も組織的変化も乗り越えられるチームへの成長 〜チームの変化から見出す明るい未来〜
Avatar for KAKEHASHI kakehashi
PRO
1
540
Keynoteから見るAWSの頭の中
Avatar for NRI Netcom nrinetcom
PRO
1
180
Redshift認可、アップデートでどう変わった?
Avatar for daiki.handa handy
1
140
2025年の医用画像AI/AI×medical_imaging_in_2025_generated_by_AI
Avatar for YoshihiroTodoroki tdys13
0
330
re:Invent2025 セッションレポ ~Spec-driven development with Kiro~
Avatar for NRI Netcom nrinetcom
PRO
2
170
テストセンター受験、オンライン受験、どっちなんだい?
Avatar for Yuuki Yamashita yama3133
0
210
#22 CA × atmaCup 3rd 1st Place Solution
Avatar for yumizu yumizu
1
170
CQRS/ESになぜアクターモデルが必要なのか
Avatar for かとじゅん j5ik2o
0
940
プロンプトエンジニアリングを超えて:自由と統制のあいだでつくる Platform × Context Engineering
Avatar for yuriemori yuriemori
0
420
Contract One Engineering Unit 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
0
12k
ファインディにおけるフロントエンド技術選定の歴史
Avatar for puku0x puku0x
2
1.4k
チームで安全にClaude Codeを利用するためのプラクティス / team-claude-code-practices
Avatar for tomoki10 tomoki10
7
3.2k

Featured

See All Featured
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
Avatar for Christian Goodrich cargoodrich
2
79
Measuring Dark Social's Impact On Conversion and Attribution
Avatar for Stephen Akadiri stephenakadiri
1
100
jQuery: Nuts, Bolts and Bling
Avatar for Doug Neiner dougneiner
65
8.4k
How to Talk to Developers About Accessibility
Avatar for Jason CranfordTeague jct
1
97
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
16
1.8k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
162
16k
The Language of Interfaces
Avatar for Des Traynor destraynor
162
26k
Rebuilding a faster, lazier Slack
Avatar for samanthasiow samanthasiow
85
9.3k
Claude Code どこまでも/ Claude Code Everywhere
Avatar for nwiizo nwiizo
61
51k
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
Avatar for MADOX madoxten
54
49k
Joys of Absence: A Defence of Solitary Play
Avatar for Sebastian Deterding codingconduct
1
270
Information Architects: The Missing Link in Design Systems
Avatar for Michelle Chin soysaucechin
0
740

Transcript

  1. “それなりに”安全な Webアプリケーションの作り方 石川琉聖 (xryuseix)  @ryusei_ishika GMO Flatt Security Inc.

  2. 石川琉聖 (xryuseix)  @ryusei_ishika GMO Flatt Security株式会社 所属。 専門はWebセキュリティ、 Webアプリケーションの開発、 OSINTなど。

    趣味は麻雀🀄、開発💻、CTF🚩。 お仕事でやっていたこと プログラミング学習サービスのコンテンツ制作 (アルバイト) フロントエンド・バックエンドエンジニア (アルバイト) セキュリティエンジニア @ GMO Flatt Security Webアプリ脆弱性診断、クラウドペンテストなどをしています 2020-2023 2021-2025 2025- 自己紹介

  3. 怖い人「セキュリティ?知らねぇよ。 まずは納期までに動くもの作る方が優先でしょ」 とても怖い偉い人 僕「た、たしかに......?」 3 Webアプリケーションの開発でこんなことありませんか?

  4. じゃあ...... 4 今回は実装コストがかからないやつを 4つ紹介します 「なんかコスパよく 、Webアプリが”それなりに ” 安全になる開発テクニックってないっすか?」

  5. 今日はこんなAPIを題材に喋っていきます 5

  6. 1. 認証認可系は共通モジュール化する 6 • JWTの検証 • JWTに書かれていたユーザが、 /money/transfer APIを使用する権限を 持っているか

    • そもそもsenderIdって必要? • 「このAPIだけ認証認可を実装し忘れてた!」を防ぎたい • 「Controllerでこの関数さえ呼べばOK!」など、 何も考えなくてもいい感じに認証認可される を目指す 題材のAPIで考えるべきこと

  7. 2. 型がある言語を採用・入力値の検証をする 7 • senderId, receiverIdは文字型 ◦ /[a-z_]+/のみ許可する • amountは正の整数

    • ユーザ入力のvalidationがあるだけで、 体感8割くらい攻撃者のできることが減ります (出典なし) • validationをする最も楽な方法が、型のある言語の導入 ◦ ダメだったら勝手にエラーになるから • これに加えて、型のとり得る値のスコープを狭める ◦ 正の整数, URL format, uuid format など 題材のAPIで考えるべきこと

  8. 3. ユーザによって汚染可能な変数を意識する 8 • senderId, receiverId, amountは ユーザが任意の値に書き換えてくる • 検証後のJWTの値は信用していい

    • 攻撃者がどの変数の値を汚染 (変更)できるのか を意識する ◦ 汚染された値を加工した値も汚染されている ◦ 汚染された値は特に重点的に検証する 題材のAPIで考えること baseSQL = "SELECT * FROM users" senderSQL = baseSQL + "WHERE sender_id = " + senderId sender = db.query(senderSQL) ←ユーザ入力

  9. 4. 眠い時に大事な実装をしない 9 • ちゃんと寝る 。 • 実装者やLLMが「ヨシ!w」と言ってるからと言って、 レビュアも雑に「ヨシ!w」と言わない。ちゃんと見る 。

  10. 終わり 10 • 認証認可系は共通モジュール化する • 型がある言語を採用・入力値の検証をする • ユーザによって汚染可能な変数を意識する • ちゃんと寝る

    ご紹介した楽にできそうなこと一覧 :