Webサーバの実装や設定不備による脆弱性と対策

Webサーバの実装や設定不備による脆弱性

---

• ディレクトリに関する設定不備により、機密情報にアクセスされる可能性がある
  • ディレクトリのアクセス権の設定不備
  • ディレクトリ参照が許可されている
  • デフォルトページ(index.htmlなど)が置かれていない
• エラーメッセージの出力設定不備により、機密情報が漏洩する可能性がある Webサーバが詳細なエラーメッセージをクライアントに返す設定になっている
• HTTPヘッダ情報からWebサーバプログラムの種類やバージョンが漏洩する可能性がある

Webサーバの実装や設定不備による脆弱性への対策

---

• Webサーバプログラムのバージョンを最新化する
• 不要な機能・コマンドを無効にする or 制限する
• ディレクトリのアクセス権限を適切に設定する
• 全てのディレクトリにデフォルトページを設置する or ディレクトリ参照を禁止する
• HTTPヘッダにWebサーバプログラムの詳細な情報を含めないようにする
• IPSを用いてOSやWebサーバプログラムの脆弱性をついた攻撃を遮断する

---

情報処理教科書 情報セキュリティスペシャリスト 2014年版 (EXAMPRESS)

• 作者: 上原 孝之
• 出版社/メーカー: 翔泳社
• 発売日: 2013/09/13
• メディア: 単行本（ソフトカバー）