8月29日(土)に第9回神戸情報セキュリティ勉強会「セキュメロ」が開催されるので、PHP のセキュリティについて。

PHP のセキュリティについては、少し古いですが、「PHPサイバーテロの技法」がバイブルでしょう。

実際には、PHP というよりは、ウェブの設計上の問題に起因するセキュリティもあります。

例えば、CSRF は、想定外のページ遷移により、予期しない動作をするものです。ブログ記事投稿なら、「投稿ボタンを押す → 投稿処理」というケースが多いでしょう。管理者に怪しげなリンクを踏ませるなどして、投稿処理ページへアクセスさせ、投稿処理を実行してしまう、という攻撃です。

CSRF については、HTTP プロトコルがステートレスであることが根本的な要因でしょう。ウェブアプリのレイヤーで、アクセスの連続性をチェックする仕組みを用意する必要があるのが、そもそも設計ミスだったように思います。もっとも、インターネット作成時には、そこまで考えるのは困難だったのでしょうけど。