Masashi Shinbara, profile picture
Uploaded byMasashi Shinbara
PDF, PPTX1,915 views

日本語消えたスライド

Osaka フォントは ok。 ヒラギノフォントが ng っぽい。

Embed presentation

Download as PDF, PPTX
 @shin1x1 2016/02/27 TwilioJP-UG大阪&AWScean合同勉強会 Twilio と Web アプリ
 連携におけるセキュリティ
https://github.com/shin1x1/twilio-api-security-demo
TwilioとWebアプリの連携
サンプルアプリケーション (c) 2016 Masashi Shinbara @shin1x1 • 会員向けポイント管理システム • 電話をかけると現在のポイントが聞ける • 電話番号で認証
(c) 2016 Masashi Shinbara @shin1x1 電話をかける 図図 - twilio 図図 - twilio Twilio Webサーバ会員 090-xxxx-xxxx
(c) 2016 Masashi Shinbara @shin1x1 電話番号が送られる 図図 - twilio 図図 - twilio HTTPリクエスト
 From: 090-xxxx-xxxx (発信元電話番号)
(c) 2016 Masashi Shinbara @shin1x1 会員認証 図図 - twilio 図図 - twilio 090-xxx-xxx で DB を参照して 会員を特定する
(c) 2016 Masashi Shinbara @shin1x1 情報をXMLで返す 図図 - twilio 図図 - twilio TwiML(XML)を返す
(c) 2016 Masashi Shinbara @shin1x1 情報をTwiMLで返す 図図 - twilio 図図 - twilio TwiML(XML)を返す <?xml version="1.0" encoding="UTF-8"?> <Response> <Say voice="woman" language="ja-JP">
 鈴木さんのポイントは 50 ポイントです。 </Say> </Response>
(c) 2016 Masashi Shinbara @shin1x1 音声を流す 図図 - twilio 図図 - twilio 音声再生
(c) 2016 Masashi Shinbara @shin1x1 デモ
(c) 2016 Masashi Shinbara @shin1x1 起こりうる問題
(c) 2016 Masashi Shinbara @shin1x1 HTTPの世界 図図 - twilio 図図 - twilio Twilio Webサーバ会員
(c) 2016 Masashi Shinbara @shin1x1 偽装リクエスト 図図 - twilio 図図 - twilio 電話番号を POST
(c) 2016 Masashi Shinbara @shin1x1 偽装リクエスト 図図 - twilio 図図 - twilio TwiMLを 取得
(c) 2016 Masashi Shinbara @shin1x1 偽装リクエスト 図図 - twilio 図図 - twilio Twilio Webサーバ会員 $ curl -d "From=%2B819012345678"
 https://example.com/api/calling <?xml version="1.0" encoding="UTF-8"?> <Response> <Say voice="woman" language="ja-JP">
 田中さんのポイントは 100 ポイントです。 </Say> </Response>
(c) 2016 Masashi Shinbara @shin1x1 Twilio を偽ったリクエスト •偽装したリクエストをWebアプリに送信 •情報取得、操作などの不正利用の可能性
(c) 2016 Masashi Shinbara @shin1x1 対策
偽装リクエスト対策 (c) 2016 Masashi Shinbara @shin1x1 1. 通信経路の暗号化 2. 通信元を制限 3. リクエストを検証
(c) 2016 Masashi Shinbara @shin1x1 1. 通信経路の暗号化 • HTTPS を利用する • 自己署名の証明書は NG • TLS を利用(SSLv3 は、廃止予定)
(c) 2016 Masashi Shinbara @shin1x1 Webアプリケーションのエンドポイント https:// にする
(c) 2016 Masashi Shinbara @shin1x1 2. 通信元を制限 • HTTP Basic認証 / Digest認証 • ユーザ、パスワードを URL に含める • https://user:pass@example.com/
(c) 2016 Masashi Shinbara @shin1x1 IPアドレスによる制限は? https://www.twilio.com/help/faq/twilio-basics/which-ip-addresses-will-twilios-requests-come- from • Twilio の送信元 IP アドレスは非公開 • 代わりにリクエストの検証を行う • どうしても必要なら相談
(c) 2016 Masashi Shinbara @shin1x1 3. リクエストの検証 ・Twilio からのリクエストであることを確認 • 妥当であれば処理を実行 • そうでなければ処理を中断(エラー)
(c) 2016 Masashi Shinbara @shin1x1 HMAC-SHA1署名による検証 ・ X-Twilio-Signatureヘッダ • 所定のアルゴリズムで署名を算出 • 上記、2つを比較して合致すれば ok
X-Twilio-Signatureヘッダ X-Twilio-Signature: +sndfa0paQ+m2P0PZ4U/2lnLkHw=
署名算出 ・URL - https://example.com/calling ・POSTパラメータ(キーでソート)
 Key2=value2 Key1=value1 From=+819012345678 https://example.com/calling
 From+819012345678Key1value1Key2value2
署名算出 ・AuthTokenをキーにして、HMAC-SHA1署名 ・base64でエンコード +sndfa0paQ+m2P0PZ4U/2lnLkHw= https://example.com/calling
 Key1value1Key2value2From+819012345678
署名が一致するか 生成した署名 +sndfa0paQ+m2P0PZ4U/2lnLkHw= X-Twilio-Signature: +sndfa0paQ+m2P0PZ4U/2lnLkHw= 合致するので、Twilioからのリクエストとみなす
twilio/sdk による検証 $validator = new Services_Twilio_RequestValidator($authToken);
 
 // ヘッダから署名取得 $signature = $request->header('X-Twilio-Signature');
 
 // URL 取得 Request::setTrustedProxies([$request->getClientIp()]);
 $url = $request->getUri();
 
 // POST パラメータ取得 $postParameters = $request->input();
 
 // 署名検証 if (!$validator->validate($signature, $url, $postParameters)) {
 // OK
 } else {
 // NG
 }
まとめ (c) 2016 Masashi Shinbara @shin1x1 •Twilio と Web アプリケーションは
 HTTP(S) で連携 •偽装リクエストが送信されることを意識 •Twilio 公式ドキュメントを参考に https://jp.twilio.com/docs/api/security

More Related Content

PDF
Twilio API を PHP で触ってみよう
byMasashi Shinbara
 
PDF
リッチなプッシュ通知の実践的運用ノウハウ
bypLucky
 
PDF
20130927 MA9 東京ハッカソン発表資料
byJoohoun Song
 
PDF
Twilio入門 -Web アプリ編-
byMasashi Shinbara
 
PDF
Twilio を使えば簡単にできる アプリケーションと電話/SMS連携
byMasashi Shinbara
 
PDF
わかってるフレームワーク Laravel
byMasashi Shinbara
 
PDF
IPメッセージングはこうやって実装するのだ!
bySakae Saito
 
PDF
Twilioビジネスセミナー20140624
bytwilioforkwc
 
Twilio API を PHP で触ってみよう
byMasashi Shinbara
 
リッチなプッシュ通知の実践的運用ノウハウ
bypLucky
 
20130927 MA9 東京ハッカソン発表資料
byJoohoun Song
 
Twilio入門 -Web アプリ編-
byMasashi Shinbara
 
Twilio を使えば簡単にできる アプリケーションと電話/SMS連携
byMasashi Shinbara
 
わかってるフレームワーク Laravel
byMasashi Shinbara
 
IPメッセージングはこうやって実装するのだ!
bySakae Saito
 
Twilioビジネスセミナー20140624
bytwilioforkwc
 

Similar to 日本語消えたスライド

PDF
【Twilio client】twiliox azureハンズオン
bytwilioforkwc
 
PDF
Kintone hands on
bytwilioforkwc
 
PDF
Twilio serveless architecture
byKiminari Homma
 
PPTX
Twilio API 勉強会 Vol.4
byJoohoun Song
 
PDF
【B-1】kintoneでお手軽コールセンター!
bySakae Saito
 
PDF
WebRTC Conference Japan 2016 登壇資料
byNoriyuki Koide
 
PDF
Twilio api-jaws
byJoohoun Song
 
PDF
Twilio TBS - 20140301
byJoohoun Song
 
PDF
phpcon2013 PHP x twilio
byichikaway
 
PDF
Twilio client for android
byHiasyoshi Suehiro
 
PDF
AWSアイデアソン20150509
byNoriyuki Koide
 
PDF
第0回 Twilio勉強会 with JAWS UG in 福岡
byYouhei Iwasaki
 
PDF
fukuokaphp7 PHP x twilio
byichikaway
 
PDF
Twilio API 勉強会 Vol.12 - アイデアを元にTwilioの機能を試してみる会
byJoohoun Song
 
【Twilio client】twiliox azureハンズオン
bytwilioforkwc
 
Kintone hands on
bytwilioforkwc
 
Twilio serveless architecture
byKiminari Homma
 
Twilio API 勉強会 Vol.4
byJoohoun Song
 
【B-1】kintoneでお手軽コールセンター!
bySakae Saito
 
WebRTC Conference Japan 2016 登壇資料
byNoriyuki Koide
 
Twilio api-jaws
byJoohoun Song
 
Twilio TBS - 20140301
byJoohoun Song
 
phpcon2013 PHP x twilio
byichikaway
 
Twilio client for android
byHiasyoshi Suehiro
 
AWSアイデアソン20150509
byNoriyuki Koide
 
第0回 Twilio勉強会 with JAWS UG in 福岡
byYouhei Iwasaki
 
fukuokaphp7 PHP x twilio
byichikaway
 
Twilio API 勉強会 Vol.12 - アイデアを元にTwilioの機能を試してみる会
byJoohoun Song
 

More from Masashi Shinbara

PDF
レイヤードアーキテクチャを意識したPHPアプリケーションの構築
byMasashi Shinbara
 
PDF
ビルドサーバで使うDocker
byMasashi Shinbara
 
PDF
レイヤードアーキテクチャを意識した PHPアプリケーションの構築 ver2
byMasashi Shinbara
 
PDF
いまどきのPHP
byMasashi Shinbara
 
PDF
開発現場で活用するVagrant
byMasashi Shinbara
 
PDF
Laravel ユーザなら知っておくべきAuthオートログイン
byMasashi Shinbara
 
PDF
How to learn Laravel5 application from Authentication
byMasashi Shinbara
 
PDF
Azure Websites で作るスケーラブルな PHP アプリケーション
byMasashi Shinbara
 
PDF
Heroku で作る
スケーラブルな 
PHP アプリケーション
byMasashi Shinbara
 
PDF
認証機能で学ぶ Laravel 5 アプリケーション
byMasashi Shinbara
 
PDF
いまどきのPHP開発現場 -2015年秋-
byMasashi Shinbara
 
PDF
Vagrant で作る PHP 開発環境 [実践編]
byMasashi Shinbara
 
PDF
Ansible ではじめるサーバ作業の自動化
byMasashi Shinbara
 
PDF
Vagrant体験入門
byMasashi Shinbara
 
PDF
VagrantユーザのためのDocker入門
byMasashi Shinbara
 
PDF
Composer 再入門
byMasashi Shinbara
 
PDF
先取り!PHP 7 と WordPress
byMasashi Shinbara
 
PDF
Vagrant で PHP 開発環境を作る ハンズオン
byMasashi Shinbara
 
PDF
PHPコードではなく PHPコードの「書き方」を知る
byMasashi Shinbara
 
PDF
キャラ立ちしたエンジニアになる!
byMasashi Shinbara
 
レイヤードアーキテクチャを意識したPHPアプリケーションの構築
byMasashi Shinbara
 
ビルドサーバで使うDocker
byMasashi Shinbara
 
レイヤードアーキテクチャを意識した PHPアプリケーションの構築 ver2
byMasashi Shinbara
 
いまどきのPHP
byMasashi Shinbara
 
開発現場で活用するVagrant
byMasashi Shinbara
 
Laravel ユーザなら知っておくべきAuthオートログイン
byMasashi Shinbara
 
How to learn Laravel5 application from Authentication
byMasashi Shinbara
 
Azure Websites で作るスケーラブルな PHP アプリケーション
byMasashi Shinbara
 
Heroku で作る
スケーラブルな 
PHP アプリケーション
byMasashi Shinbara
 
認証機能で学ぶ Laravel 5 アプリケーション
byMasashi Shinbara
 
いまどきのPHP開発現場 -2015年秋-
byMasashi Shinbara
 
Vagrant で作る PHP 開発環境 [実践編]
byMasashi Shinbara
 
Ansible ではじめるサーバ作業の自動化
byMasashi Shinbara
 
Vagrant体験入門
byMasashi Shinbara
 
VagrantユーザのためのDocker入門
byMasashi Shinbara
 
Composer 再入門
byMasashi Shinbara
 
先取り!PHP 7 と WordPress
byMasashi Shinbara
 
Vagrant で PHP 開発環境を作る ハンズオン
byMasashi Shinbara
 
PHPコードではなく PHPコードの「書き方」を知る
byMasashi Shinbara
 
キャラ立ちしたエンジニアになる!
byMasashi Shinbara
 

日本語消えたスライド