情報処理安全確保支援士試験の過去問を題材に、Webアプリ開発に必須のセキュリティ対策を学びます。本動画では、「インジェクション攻撃」と対策となる改行コードのチェックやプレースホルダ、そして「認証と認可」の違いに基づく正しいアクセス制御、さらに最新のAPI開発でも脅威となる「BOLAやIDOR」といった重要なキーワードについて学習します。
インジェクション攻撃は外部からの入力を直接処理することで生じるため、改行コードの入力チェックやSQLのプレースホルダを用いて防ぎます。また、ログインできるかの認証と、データにアクセスできるかの認可は別物です。URLパラメータ等で権限判定を行わず、サーバー側のセッションやJWTとDBの所有者情報を照合して認可を検証するという、流行り廃りのないセキュリティの本質的な考え方を解説します。
