おはようございます。わてぷです。
5月24日(金)に「Rubyもくもく会 with DIVE INTO CODE」に参加してきました。
最近はほとんど参加していなかったのですが、今回のテーマがアプリの脆弱性を探そうとのことで、これはテストの観点からも役立つのではないかと思い、参加することにしました。
やったこと
- 自己紹介
- ワードウルフ
- 用意されたRailsアプリをクローンしてきて、脆弱性を探す
こんな感じで進んでいきました。
今回、始めてワードウルフというものをやってきました。
中々難しいですが、面白かったですね。同じグループのメンバー同士、すぐに打ち解けていたと思います。
で、そのあとは、二人一組になって、用意されたRailsアプリをくまなくいじって脆弱性がどこにあるのか探していきます。
いずれ学んだことを詳しく記事に書こうと思いますが、今回は主にXSSとCSRFについて、使われてしまうとどうなってしまうのかということを見ていきました。
感想
Railsってデフォルトで色々してくれているんだな
今回は、わざわざ(?)脆弱性のあるアプリで色々と試していきましたが、普通にRailsでアプリを作っていれば、こういったことは起こらないように対策されています。
例えば、XSSが起きないよう、デフォルトでエスケープ処理がなされていたりします。
エスケープ処理がなされないようにするには、あることをしないといけません。
そういったことは、今までアプリを作成している際に、全く考えなかったのですが、今回改めてよく出来ているなぁと感じました。
テストの観点が増えた
一応、テストエンジニアをやっているので。
今は、項目書に沿って、テストを実行しているだけですが、その内セキュリティ関連のテストに関わる際には、今回の知識は役立ちそうです。
Rails限定ではありますが、どこをどうすればこういうことが起こってしまうのかということも知ることが出来たので、コードを見ることになった時にも使えそうです。
アプリを作る時に気をつけなければいけない視点が増えた
まぁ、先ほど書いた通り、ほとんどデフォルトで対策が立てられているのですが。
とは言え、何か色々といじろうとして、重要なところを変更してしまうということが無いわけでもないですし・・・
というか何回か変な所をいじって、動かなくなってしまった前例もありますし・・・
他にもセキュリティ的に気をつけた方が良い点がありそうなので、今後も知識を身につけていきたいですね。
ちなみに、次回はまた違ったテーマでもくもく会が開かれるようなので、また、都合がつけば参加したいと思います!
それでは!
コメント