A A A Webセキュリティ - user000422/0 GitHub Wiki

■ OWASP Top 10 Webアプリケーションに関する脆弱性やリスク、攻撃手法などをまとめ定期的に発行しているセキュリティレポート。

■ OWASP ZAP Webアプリケーションの脆弱性を検出するための無料のオープンソース診断ツール。

■ Hidden
ログイン前のやり取りでは使おう。ログイン後は使うな、セッションにしよう。

■ 入力フォーム
文字数上限は必ず設定すること。(バッファオーバーフロー対策)

■ ログイン失敗メッセージを統一すること
推測できるため。
×: 「メールアドレスが存在しません」and「パスワードが違います」
○: 「ログイン情報が正しくありません」

Laravel

■ ドキュメントルート
ドキュメントルートは必ず「/var/www/html/project/public」にすること。
「/var/www/html/project」だと.env等にアクセスされます。