Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Twilio と Web アプリ
連携におけるセキュリティ

shin1x1
March 09, 2016
Technology
1
600

Twilio と Web アプリ
連携におけるセキュリティ

2016/02/27 TwilioJP-UG大阪&AWScean合同勉強会

shin1x1

March 09, 2016
Tweet

More Decks by shin1x1

See All by shin1x1
PHP ユーザのための OpenTelemetry 入門 / phpcon2024-opentelemetry
shin1x1
3
1.8k
PHPコードの実行モデルを理解する / Understanding-the-PHP-Execution-Model
shin1x1
1
2.1k
制約の力 - 状態を限定する -
shin1x1
4
4.6k
Apple Silicon Mac 時代の PHP 開発環境構築 2021 / php-dev-env-on-m1-mac-era
shin1x1
2
4.6k
Docker イメージのマルチアーキテクチャビルド / docker-muti-arch-build
shin1x1
1
470
Domain modeling with PHP / domain-modeling-with-php-en
shin1x1
0
240
ドメインをモデリングしてPHPコードに落とし込む / domain-modeling-with-php8
shin1x1
14
7.1k
PHP 8 で作る JSON パーサ / php8-json-parser
shin1x1
1
3.7k
Kubernetes で構築する PHP 開発環境 / php-development-environment-on-kubernetes
shin1x1
3
4.9k

Other Decks in Technology

See All in Technology
AWS Well-Architected Frameworkで学ぶAmazon ECSのセキュリティ対策
umekou
2
150
Pwned Labsのすゝめ
ken5scal
2
450
コンピュータビジョンの社会実装について考えていたらゲームを作っていた話
takmin
1
610
(機械学習システムでも) SLO から始める信頼性構築 - ゆる SRE#9 2025/02/21
daigo0927
0
270
ABWG2024採択者が語るエンジニアとしての自分自身の見つけ方〜発信して、つながって、世界を広げていく〜
maimyyym
1
180
【5分でわかる】セーフィー エンジニア向け会社紹介
safie_recruit
0
19k
JAWS FESTA 2024「バスロケ」GPS×サーバーレスの開発と運用の舞台裏/jawsfesta2024-bus-gps-serverless
ma2shita
3
220
Ruby on Railsで持続可能な開発を行うために取り組んでいること
am1157154
3
160
1行のコードから社会課題の解決へ: EMの探究、事業・技術・組織を紡ぐ実践知 / EM Conf 2025
9ma3r
11
3.9k
実は強い 非ViTな画像認識モデル
tattaka
3
1.3k
2/18 Making Security Scale: メルカリが考えるセキュリティ戦略 - Coincheck x LayerX x Mercari
jsonf
0
210
Windows の新しい管理者保護モード
murachiakira
0
200

Featured

See All Featured
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
175
52k
Measuring & Analyzing Core Web Vitals
bluesmoon
6
260
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
29
1k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
30
4.6k
Site-Speed That Sticks
csswizardry
4
410
Designing Experiences People Love
moore
140
23k
Fantastic passwords and where to find them - at NoRuKo
philnash
51
3k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
45
9.4k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
7k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
Building a Scalable Design System with Sketch
lauravandoore
461
33k
Optimising Largest Contentful Paint
csswizardry
34
3.1k

Transcript

  1. ɹ@shin1x1 2016/02/27 TwilioJP-UG大阪&AWScean合同勉強会 5XJMJPͱ8FCΞϓϦ
 ࿈ܞʹ͓͚ΔηΩϡϦςΟ

  2. https://github.com/shin1x1/twilio-api-security-demo

  3. 5XJMJPͱ8FCΞϓϦͷ࿈ܞ

  4. αϯϓϧΞϓϦέʔγϣϯ D .BTBTIJ4IJOCBSB!TIJOY wձһ޲͚ϙΠϯτ؅ཧγεςϜ wి࿩Λ͔͚ΔͱݱࡏͷϙΠϯτ͕ฉ͚Δ wి࿩൪߸Ͱೝূ

  5. D .BTBTIJ4IJOCBSB!TIJOY ి࿩Λ͔͚Δ 図 図 - twilio 図 図 -

    twilio Twilio Webαʔό ձһ YYYYYYYY

  6. D .BTBTIJ4IJOCBSB!TIJOY ి࿩൪߸͕ૹΒΕΔ 図 図 - twilio 図 図 -

    twilio )551ϦΫΤετ
 'SPNYYYYYYYY ʢൃ৴ݩి࿩൪߸ʣ

  7. D .BTBTIJ4IJOCBSB!TIJOY ձһೝূ 図 図 - twilio 図 図 -

    twilio YYYYYYͰ%#Λࢀরͯ͠ ձһΛಛఆ͢Δ

  8. D .BTBTIJ4IJOCBSB!TIJOY ৘ใΛ9.-Ͱฦ͢ 図 図 - twilio 図 図 -

    twilio 5XJ.-ʢ9.-ʣΛฦ͢

  9. D .BTBTIJ4IJOCBSB!TIJOY ৘ใΛ5XJ.-Ͱฦ͢ 図 図 - twilio 図 図 -

    twilio 5XJ.-ʢ9.-ʣΛฦ͢  YNMWFSTJPOFODPEJOH65'  3FTQPOTF 4BZWPJDFXPNBOMBOHVBHFKB+1
 ླ໦͞ΜͷϙΠϯτ͸ϙΠϯτͰ͢ɻ 4BZ 3FTQPOTF

  10. D .BTBTIJ4IJOCBSB!TIJOY Ի੠Λྲྀ͢ 図 図 - twilio 図 図 -

    twilio Ի੠࠶ੜ

  11. D .BTBTIJ4IJOCBSB!TIJOY σϞ

  12. D .BTBTIJ4IJOCBSB!TIJOY ى͜Γ͏Δ໰୊

  13. D .BTBTIJ4IJOCBSB!TIJOY )551ͷੈք 図 図 - twilio 図 図 -

    twilio Twilio Webαʔό ձһ

  14. D .BTBTIJ4IJOCBSB!TIJOY ِ૷ϦΫΤετ 図 図 - twilio 図 図 -

    twilio ి࿩൪߸Λ 1045

  15. D .BTBTIJ4IJOCBSB!TIJOY ِ૷ϦΫΤετ 図 図 - twilio 図 図 -

    twilio 5XJ.-Λ औಘ

  16. D .BTBTIJ4IJOCBSB!TIJOY ِ૷ϦΫΤετ 図 図 - twilio 図 図 -

    twilio Twilio Webαʔό ձһ DVSME'SPN#
 IUUQTFYBNQMFDPNBQJDBMMJOH  YNMWFSTJPOFODPEJOH65'  3FTQPOTF 4BZWPJDFXPNBOMBOHVBHFKB+1
 ాத͞ΜͷϙΠϯτ͸ϙΠϯτͰ͢ɻ 4BZ 3FTQPOTF

  17. D .BTBTIJ4IJOCBSB!TIJOY 5XJMJPΛِͬͨϦΫΤετ wِ૷ͨ͠ϦΫΤετΛ8FCΞϓϦʹૹ৴ w৘ใऔಘɺૢ࡞ͳͲͷෆਖ਼ར༻ͷՄೳੑ

  18. D .BTBTIJ4IJOCBSB!TIJOY ରࡦ

  19. ِ૷ϦΫΤετରࡦ D .BTBTIJ4IJOCBSB!TIJOY  ௨৴ܦ࿏ͷ҉߸Խ  ௨৴ݩΛ੍ݶ  ϦΫΤετΛݕূ

  20. D .BTBTIJ4IJOCBSB!TIJOY ௨৴ܦ࿏ͷ҉߸Խ w)5514Λར༻͢Δ wࣗݾॺ໊ͷূ໌ॻ͸/( w5-4Λར༻ʢ44-W͸ɺഇࢭ༧ఆʣ

  21. D .BTBTIJ4IJOCBSB!TIJOY 8FCΞϓϦέʔγϣϯͷΤϯυϙΠϯτ IUUQTʹ͢Δ

  22. D .BTBTIJ4IJOCBSB!TIJOY ௨৴ݩΛ੍ݶ w)551#BTJDೝূ%JHFTUೝূ wϢʔβɺύεϫʔυΛ63-ʹؚΊΔ wIUUQTVTFSQBTT!FYBNQMFDPN

  23. D .BTBTIJ4IJOCBSB!TIJOY *1ΞυϨεʹΑΔ੍ݶ͸ʁ https://www.twilio.com/help/faq/twilio-basics/which-ip-addresses-will-twilios-requests-come- from w5XJMJPͷૹ৴ݩ*1ΞυϨε͸ඇެ։ w୅ΘΓʹϦΫΤετͷݕূΛߦ͏ wͲ͏ͯ͠΋ඞཁͳΒ૬ஊ

  24. D .BTBTIJ4IJOCBSB!TIJOY ϦΫΤετͷݕূ ɾ5XJMJP͔ΒͷϦΫΤετͰ͋Δ͜ͱΛ֬ೝ wଥ౰Ͱ͋Ε͹ॲཧΛ࣮ߦ wͦ͏Ͱͳ͚Ε͹ॲཧΛதஅʢΤϥʔʣ

  25. D .BTBTIJ4IJOCBSB!TIJOY )."$4)"ॺ໊ʹΑΔݕূ ɾ95XJMJP4JHOBUVSFϔομ wॴఆͷΞϧΰϦζϜͰॺ໊Λࢉग़ w্هɺ̎ͭΛൺֱͯ͠߹க͢Ε͹PL

  26. 95XJMJP4JHOBUVSFϔομ 95XJMJP4JHOBUVSF TOEGBQB2 N11;6MO-L)X

  27. ॺ໊ࢉग़ ɾ63-IUUQTFYBNQMFDPNDBMMJOH ɾ1045ύϥϝʔλʢΩʔͰιʔτʣ
 ,FZWBMVF ,FZWBMVF 'SPN  IUUQTFYBNQMFDPNDBMMJOH
 'SPN ,FZWBMVF,FZWBMVF

  28. ॺ໊ࢉग़ ɾ"VUI5PLFOΛΩʔʹͯ͠ɺ)."$4)"ॺ໊ ɾCBTFͰΤϯίʔυ TOEGBQB2 N11;6MO-L)X IUUQTFYBNQMFDPNDBMMJOH
 ,FZWBMVF,FZWBMVF'SPN 

  29. ॺ໊͕Ұக͢Δ͔ ੜ੒ͨ͠ॺ໊ TOEGBQB2 N11;6MO-L)X 95XJMJP4JHOBUVSF TOEGBQB2 N11;6MO-L)X ߹க͢ΔͷͰɺ5XJMJP͔ΒͷϦΫΤετͱΈͳ͢

  30. UXJMJPTELʹΑΔݕূ $validator = new Services_Twilio_RequestValidator($authToken);
 
 // ϔομ͔Βॺ໊औಘ $signature =

    $request->header('X-Twilio-Signature');
 
 // URL औಘ Request::setTrustedProxies([$request->getClientIp()]);
 $url = $request->getUri();
 
 // POST ύϥϝʔλऔಘ $postParameters = $request->input();
 
 // ॺ໊ݕূ if (!$validator->validate($signature, $url, $postParameters)) {
 // OK
 } else {
 // NG
 }

  31. ·ͱΊ D .BTBTIJ4IJOCBSB!TIJOY w5XJMJPͱ8FCΞϓϦέʔγϣϯ͸
 )551 4 Ͱ࿈ܞ wِ૷ϦΫΤετ͕ૹ৴͞ΕΔ͜ͱΛҙࣝ w5XJMJPެࣜυΩϡϝϯτΛࢀߟʹ https://jp.twilio.com/docs/api/security