@kotyのブログ

PythonとかAWSとか勉強会のこととかを、田舎者SEがつづります。記事のライセンスは"CC BY"でお願いします。

第7回「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 読書会 参加記録

nseg.connpass.com 業務多忙につき、2ヶ月ほど間を空けてしまった。参加者は5名だった。

トピックとしては、「リダイレクト処理にまつわる脆弱性」と「クッキー出力にまつわる脆弱性」。 前者についてはヘッダーに不正な改行コードを入れられたときに発生する。

Django(1.8.3)で以下のコードを試してみたところ、BadHeaderErrorでHTTPステータスコードが500が返ってきたのでちゃんと対策されていそう。安心安心。

@require_GET
def index(request):
    response = render(request, 'index.html', {})
    response['MY_HEADER\nHAGE_HEADER'] = 'hogehoge'
    return response

次回はイベントがかぶったので一日ずらしました。12/13(木)です。本書は各項が比較的独立しているので、途中参加しやすいと思います。お気軽にご参加ください。 nseg.connpass.com