今日はSECURE SYSTEM Training for Developerを受講する為に新宿住友ビルへ。
なんか200Pもあるくらいの分厚い資料を渡されて、あまり寝てなかったこともあり、しょ〜もない内容ならそのまま寝てようと思ってたころへトレーナーの方が入ってきたのだが、30くらいの女性の方だったこともあって 「やっぱり概要なめて終わりかぁ・・」と思ってしまった俺はバカでした、それと頭から偏見を持ってしまったトレーナーさん、本当にごめんなさいm(_ _)m
いや、このトレーニングは面白かったというか目からウロコの連続でした!
システム管理の人間がセキュリティ対策をとるのは当たり前だが、デベロッパーはなかなか意識が向かないもので、特に.NETはクロスサイトスクリプティング対策もデフォルト (.NET Framework 1.1) で設定されており、CLR管理ではバッファオーバーランも存在しない、しかもイントラネット上のシステムが多いこともあってか全く対策をとってないことが多いのである。
しかしこのトレーニングでは実際のデモを交えて、次々と脆弱なコードが崩壊していく様を見せてくれるので受講してる間、自分の認識の甘さを痛烈に感じてしまった・・特にパラメータ化クエリを用いないSQLステートメントを連結していくようなコードにおける、SQLインジェクション問題はなぜ今まで気づかなかったのかと恥ずかしいというよりも恐怖すら覚えた・・う〜ん、出来れば社内の.NET関係者全員にとにかくこのトレーニングを受講させたいが、既にどの回も満席ということらしい。
またやってくれないかなぁ・・