開発
あなたのソースコードは安全ですか。
beko
今回はセキュアプログラミングについての話しです
突然ですが”あなたのソースコードは安全ですか?”
という質問に”はい”答えられますか。
おそらく、この質問に答えられるひとは多くはないと思います。
なぜなら、アプリやサービスを作る際に、機能や性能を満たしていれば、とりあえず問題ないからです。
しかし、それでは、安全なアプリやサービスにはなると限りません。もしなにかのタイミングで、自分の書いたコードに脆弱性があり、攻撃をされた場合に被害は出ますし、その脆弱性を直す作業もかかります。また、セキュリティを意識せずに書いたものですから、多くの場所に脆弱性が存在することが予想されます。これでは、そのアプリやサービスの信頼は下がり、コストもかかってしまいます。ですが、最初からセキュリティのことをしっかり考えて、セキュアコーディングをしていた場合はというと完全に脆弱性がないとは言えないですが前者よりは少なく、もし攻撃をされたとしても被害が出る可能性は少なくなります。
なので、セキュアコーディングを心がけましょう。
ということで、IPAから出されているIPA/ISEC セキュア・プログラミング講座
を読むことをおすすめします。これにはソースコード中にどのようにして、脆弱性が作りこまれる原因になるのかとか、実際の攻撃方法、対策方法などが記載されています。さらに、これらに書かれていることはCTFで役に立ちます。私がこのサイトを知ったのも、CTFの問題やっているときです。(おかげで解けました)
なので、CTFをやっているひとやセキュリティに興味のある方はもちろん、今まで、全くセキュリティを意識していなかった人は読みましょう。