Nick Security Log

securityを始めとしたNickのブログです

Nick技術週報 12/15~12/21

12/15

GraphQL

成り立ち
2012年にFacebookが開発した。
当初はFacebook News Feed APIとして使用する目的で作成された。


モバイルアプリの限られたネットワーク内で複雑なデータを扱う必要があったため。

www.channelfutures.com



2015年にオープンソース化された。 そして、2018年にGraphQL Foundationが作成された。

foundation.graphql.org



REST APIとの違い
もともと、REST APIの弱点を補うべく作成された。
どんな弱点を補おうとしていたのか?


従来のRESTでは、アプリ側で使用するデータセットの観点で取得するデータの内容が考えられていなかった。
それらに対応するには、サーバサイドで対応する必要があった。
Facebookが当初使用したアプリでは、複雑な製品だったため、取得するデータが複雑、または膨大になり、モバイルのネットワークでは対応できなかったと考えられる。


そのため、アプリ側で必要なものを取得できるような形式であるGraphQLが作成された。
限られたリソース内で必要なものだけを取得できる。

graphql.org

学習用リソース

www.howtographql.com

www.edx.org

github.com

課題・調査点

  • 脆弱性となるポイント
  • 使い方



12/17

読んだ記事

efcl.info

securitylab.github.com

www.m3tech.blog

XSS 歴史

なぜクロスサイトスクリプティングと呼ばれるか?
サイトを横断するから、という記述がいくつかのサイトや本で見られたが、根拠はなし。
いつ生まれたかも不明。

12/18

読んだ記事

medium.com

portswigger.net

know.bishopfox.com

ghostlulz.com

XSS 事例

2002年

archive.cert.uni-stuttgart.de



2006年
Yamanner

japan.cnet.com

ci.nii.ac.jp


Samy

www.itmedia.co.jp

akaki.io

samy.pl

en.m.wikipedia.org



2007年

seclists.org



2010年

www.itmedia.co.jp

www.itmedia.co.jp



2014年

internet.watch.impress.co.jp

ascii.jp



2017年

togetter.com

12/19

読んだ記事

speakerdeck.com

rezo.blog

medium.com

XSSの機能面での対策

XSSフィルタ
悪用

www.mbsd.jp

課題・調査点

  • XSSフィルタの成り立ち
  • X-XSS-protectionの成り立ち、歴史、現状
  • SOPの成り立ち、歴史、現状
  • CORSの成り立ち、歴史、現状
  • CSPの成り立ち、歴史、現状
  • その他、XSSの機能面での対策

12/21

XSS フィルタ

機能悪用

www.mbsd.jp

www.slideshare.net

www.slideshare.net