News & Information

~ 良いものを創造し、”よろこび”を提供する ~

TOPblog ⟩ ウェブサイトセキュリティについて最新情報

ウェブサイトセキュリティについて最新情報

2016/01/27

WEBサイト構築に当たってセキュリティを確保したいとの要望があり調べていたら、さすがIPA!
ドキュメントを用意してます。しかも随時更新されている模様。

https://www.ipa.go.jp/security/vuln/websecurity.html

ここの

にすべてのことが書いてありました。

主な脆弱性として以下11個。

  1. SQL インジェクション
  2. OS コマンド・インジェクション
  3. パス名パラメータの未チェック/ディレクトリ・トラバーサル
  4. セッション管理の不備
  5. クロスサイト・スクリプティング
  6. CSRF(クロスサイト・リクエスト・フォージェリ)
  7. HTTP ヘッダ・インジェクション
  8. メールヘッダ・インジェクション
  9. クリックジャッキング
  10. バッファオーバーフロー
  11. アクセス制御や認可制御の欠落

この中で[4]のセッション管理については、セッションハイジャックが有名だけど、悪意のある人が取得したIDを他人に埋め込ませる方法もあるようです。巧妙な手口。セッションを使いまわしているとそうなるようです。ちゃんと新規ログイン時には新しいセッションを作るようにすれば問題ないです。

入力フォームとかあるページを作る場合は、[5]クロスサイト・スクリプティングを注意しましょう。ほとんどのWEB系言語には対策できるクラス、メソッド、関数があります。自作する場合でも、特別な記号文字(「<」、「>」、「&」等)を、HTML エンティティ(「<」、「>」、「&」等)に置換すればOK。そのほか指定ワードを除去するなどドキュメントにいろいろ書いてあります。

 

これを読むだけで十分です。

 

仲間大募集!

現状に満足することなく常に新しい技術を学び、問題解決に取り組める方、
積極的に新しいことにチャレンジしたい!とお考えの方、
ご自身のスキル・経験を活かしてお仕事をしたいとお考えの方を
心より、お待ちしております!!

現状に満足することなく常に新しい技術を学び、問題解決に取り組める方、 積極的に新しいことにチャレンジしたい!とお考えの方、 ご自身のスキル・経験を活かしてお仕事をしたいとお考えの方を 心より、お待ちしております!!