SC勉強メモ

メモ

• HTTPヘッダーインジェクション
  • 概要
    リクエストに改行コード(¥r¥n)が含まれていて、動的にページをした際に意図しないレスポンスヘッダが生成される。 セッション固定化攻撃が該当する
  • 対策
    • ユーザーが入力したデータをレスポンスヘッダーに含めない
    • 制御文字を入れないようにバリデーション処理を実施する
  • 参考サイト
    • 安全なウェブサイトの作り方 - 1.7 HTTPヘッダー・インジェクション
    • 改行コードに要注意！ HTTP ヘッダインジェクションの概要と対策
• クロスサイトリクエストフォージェリ
  • 概要 あるサイトAにログインし、ログイン状態を維持したまま、悪意のあるサイトにアクセスしたとする。 その場合に、悪意のあるサイトは、ユーザーの意図しないリクエスト(パスワード変更やアクセス)をサイトAに送信する。 これにより、ユーザーが意図しないリクエストを実行してしまう。
  • 対策
    • 悪意のあるサイトにアクセスしない
    • ログインしたままにせず、ログアウトする
    • ワンタイムトークンを利用する
  • 参考サイト
    • クロスサイトリクエストフォージェリ（CSRF）とは？攻撃方法と対策を解説
• セッションハイジャック
  • 概要 利用者のセッションIDが不正に取得され、利用者になりすまして、アクセスすること
  • 対策
    • セッションIDが推測困難なものにする
    • secure属性を加える
  • 参考サイト
    • 安全なウェブサイトの作り方 - 1.4 セッション管理の不備

開発

• エクストリムプログラミング(XP)
  • 概要
    • アジャイル開発の開発手法の1つ
    • XPで提供する価値
    • コミュニケーション(開発チームだけでなく、顧客とも)
    • シンプル
    • フィードバック
    • 勇気
    • 尊重
  • 参考サイト
    • エクストリームプログラミング(XP)とは？わかりやすく解説！
• 適用型ソフトウェア開発(Adaptive Software Development)
  • 概要
    • アジャイル開発の開発手法の1つ
    • 3段階のイテレーションを繰り返しながら開発を進める
      • 思索
      • 協調
      • 学習
  • 参考サイト
    • ASD開発
• フィーチャ駆動開発(Feature Driven Development)
  • 概要
    • アジャイル開発の開発手法の1つ
    • 顧客にとって価値のある機能を単位として機能ごとに開発を行う
  • 参考サイト
    • アジャイル開発におけるユーザー機能駆動開発（FDD）とは？メリットやデメリットも解説！