# 2020/05/17 upper layer progress 2020/05/17の勉強会資料 - javascript勉強会 - websec(http://websec.fr/#) ## javascript 勉強会 ### 進捗 N予備校(https://www.nnn.ed.nico/) にて、 「2020年度サーバーサイドプログラミング入門」22~25まですすんだ。 ### 感想 今回も前回同様、動的なサイトに関する学習がメインであった。 学習内容として、下記の機能の実装を行った。 ・認証機能 ・ログアウト ・実装されていないURLへのアクセスへのレスポンス ・投稿内容一覧ページ ・投稿内容のデータベースへの保存機能 ・ユーザーへのcookieを用いたID付け ・投稿内容の削除 既に開発されたプログラムを利用することで、どんどん必要な機能を実装を盛り込めるのは非常に便利だと感じた。ありがたい。しかも、この盛り込んでいく機能でどこに脆弱性があるのか等も解説してくれていていい勉強になっていると感じた。情報セキュリティとして学習していく上で、どこに脆弱性が生まれそうかを意識するとさらに役立つと思うので、そこを意識したい。 また、N予備校のコンテンツが5/31までらしいですね。。。 ### 今後の予定 5月末までに終わらせる予定であったが、1年間の無料延長が出来ると判明。早期に終わらせるべきではあるが、6月以降でも学習が継続できるので一安心。 ## websec ### 進捗 level01が終了 ### 今回の感想 学んだ項目は、 - SQLliteの仕様 " SELECT sql FROM sqlite_master where table_name='テーブル名' " 上記のSQL文でそのテーブルを作成した際のCREATE文の実行内容が分かる。（＝カラム数やデータ型などが分かる。） コメントアウトは" -- "　を用いる。 - 1 AND 1 = 0 UNION ~　-- ～の部分に実行したいSQL文を入れることで、そのSQL文が優先され実行することが出来る。 ### 今後の予定 SQLliteを使用したサーバーへのSQLインジェクションは、今までのものと異なる点も多い。そのため、Websec進めるのも有り。継続するかどうかは今後の予定次第とする。