Upgrade to Pro — share decks privately, control downloads, hide ads and more …

外部決済サービスを利用する上での脆弱ポイントと対策 / Vulnerable points a...

外部決済サービスを利用する上での脆弱ポイントと対策 / Vulnerable points and countermeasures for using external payment services

クラスメソッドのオンライン型イベント DevelopersIO 2022 https://classmethod.jp/m/developers-io/ 技術セッションとして、「外部決済サービスを利用する上での脆弱ポイントと対策」というテーマで動画を公開しました。

ECサイトなどで決済機能を作る場合は外部の決済サービスを扱うことがほとんどだと思います。特に外部サービスから結果を受け取る場合にセキュリティ上考慮が必要なことについて話しました。

Keiichi Nomura

July 27, 2022
Tweet

More Decks by Keiichi Nomura

Other Decks in Technology

Transcript

  1. ֎෦αʔϏε͔Β݁ՌΛड͚औΔػೳͷྫ  w ֎෦αʔϏε͔ΒͷίʔϧόοΫ ϦμΠϨΫτ ઌ ͱͳΔը໘ w ઌʹྫࣔͨ͠ʮ஫จ׬ྃը໘ʯͳͲ w

    ֎෦αʔϏε͕ൃߦͨ͠ΠϕϯτΛड͚औΔ 
 ΤϯυϙΠϯτ 8FCIPPL  w ֎෦αʔϏε͔ΒΞΫηεՄೳͱ͢ΔͨΊ 
 ެ։͍ͯ͠Δ͜ͱ͕લఏɻ୭Ͱ΋ΞΫηεՄೳ
  2. ѱҙ͋ΔϢʔβʔͷૢ࡞ΛϒϩοΫ  ຊਓೝূ ར༻͢ΔΧʔυ ͳͲೖྗ ஫จ׬ྃ ஫จʹ࢖͏ࢧ෷͍ ํ๏Λબ୒ͯ͠ ஫จΛड෇ ᶃ஫จड෇ঢ়ଶ·ͰਐΊΔ

    ஫จ׬ྃ͢ΔલʹɺϦΫΤετݩ͕ ૝ఆͨ͠ૹ৴ݩͰ͋Δ͔֬ೝ ૝ఆ֎ͳΒϒϩοΫ × ᶄ֎෦αʔϏε͔ΒͷϦΫΤετͱ ِ૷ͯ͠஫จ׬ྃঢ়ଶʹ͢Δ
  3.  w ֎෦αʔϏεΛಛఆͰ͖Δ৘ใ͔Βݕূ͢Δ w *1ΞυϨεɺϦϑΝϥͳͲ w ͋Δ͍͸ɺ֎෦αʔϏε͕ఏڙ͢Δݕূํ๏Λར༻ ͢Δ w ྫʣ4USJQF͕ఏڙ͢Δݕূํ๏

    w 8FCIPPLͷॺ໊Λ֬ೝ͢Δ ૝ఆ͢Δૹ৴ݩͰ͋Δ͜ͱΛݕূ͢Δํ๏ https://stripe.com/docs/webhooks/signatures
  4.  ஫จʹ࢖͏ࢧ෷͍ ํ๏Λબ୒ͯ͠ ஫จΛड෇ ຊਓೝূ ར༻͢ΔΧʔυ ͳͲೖྗ ஫จ׬ྃ ᶅอ࣋ͨ͠ύϥϝʔλͱɺ ֎෦αʔϏε͔ΒͷύϥϝʔλΛর߹

    Ұக͍ͯ͠Ε͹0, ᶃ೚ҙύϥϝʔλΛϥϯμϜͰੜ੒ɺอ࣋͢Δ ᶄ஫จ׬ྃભҠઌʹɺੜ੒ͨ͠ύϥϝʔλ΋ૹΔΑ͏ ʹઃఆ͢Δ ೚ҙͷύϥϝʔλΛ࢖ͬͯݕূ͢Δ৔߹ͷભҠ
  5. ѱҙ͋ΔϢʔβʔͷૢ࡞  ຊਓೝূ ར༻͢ΔΧʔυ ͳͲೖྗ ஫จ׬ྃ ஫จʹ࢖͏ࢧ෷͍ ํ๏Λબ୒ͯ͠ ஫จΛड෇ ᶃ஫จड෇ঢ়ଶ·ͰਐΊΔ

    ᶃͷૢ࡞ͷࡍʹ೚ҙύϥϝʔλΛϥϯμϜͰੜ੒ɺ อ࣋͢Δ ᶄ֎෦αʔϏε͔ΒͷϦΫΤετͱ ِ૷ͯ͠஫จ׬ྃঢ়ଶʹ͢Δ
  6. ஫จʹ࢖͏ࢧ෷͍ ํ๏Λબ୒ͯ͠ ஫จΛड෇ ᶃͷૢ࡞ͷࡍʹ೚ҙύϥϝʔλΛϥϯμϜͰੜ੒ɺ อ࣋͢Δ ѱҙ͋ΔϢʔβʔͷૢ࡞ΛϒϩοΫ  ຊਓೝূ ར༻͢ΔΧʔυ ͳͲೖྗ

    ஫จ׬ྃ ᶃ஫จड෇ঢ়ଶ·ͰਐΊΔ อ͓͍࣋ͯͨ͠ύϥϝʔλͱɺِ૷ͨ͠ϦΫΤετͷ ύϥϝʔλΛൺֱɻҰகͯ͠ͳ͚Ε͹ϒϩοΫ × ᶄ֎෦αʔϏε͔ΒͷϦΫΤετͱ ِ૷ͯ͠஫จ׬ྃঢ়ଶʹ͢Δ