A A A Webセキュリティ - user000422/0 GitHub Wiki
■ OWASP Top 10 Webアプリケーションに関する脆弱性やリスク、攻撃手法などをまとめ定期的に発行しているセキュリティレポート。
■ OWASP ZAP Webアプリケーションの脆弱性を検出するための無料のオープンソース診断ツール。
■ Hidden
ログイン前のやり取りでは使おう。ログイン後は使うな、セッションにしよう。
■ 入力フォーム
文字数上限は必ず設定すること。(バッファオーバーフロー対策)
■ ログイン失敗メッセージを統一すること
推測できるため。
×: 「メールアドレスが存在しません」and「パスワードが違います」
○: 「ログイン情報が正しくありません」
Laravel
■ ドキュメントルート
ドキュメントルートは必ず「/var/www/html/project/public」にすること。
「/var/www/html/project」だと.env等にアクセスされます。