SSブログ

Webアプリケーションの仕様や実装による脆弱性と対策 [情報セキュリティ]

Webアプリケーションの仕様や実装による脆弱性


  • XSSの脆弱性により、クライアントで悪意のあるスクリプトが実行される可能性がある
    • クッキーの不正取得、クライアント環境でのデータ改ざん・破壊など
    • 不正な入力フィールドを挿入される(フィッシング)
  • SQLインジェクションの脆弱性で、DBのデータが不正取得・改ざん・破壊される恐れがある
  • OSコマンドインジェクションの脆弱性で、Webサーバに不正アクセスされる
  • HTTPヘッダインジェクションの脆弱性で、クライアントに不正なデータを送信される


Webアプリケーションの仕様や実装による脆弱性への対策


  • WebアプリケーションからDBへのリクエストはバインド機構やストアドを用いる
  • 入力データに適切なエスケープ処理を行う
  • DBサーバにアクセスする際には、最小限の権限で行う
  • OSコマンドの呼び出しをWebアプリケーションでは極力行わない
  • WAFを用いてWebアプリケーションの脆弱性をついた攻撃を遮断する





情報処理教科書 情報セキュリティスペシャリスト 2014年版 (EXAMPRESS)

情報処理教科書 情報セキュリティスペシャリスト 2014年版 (EXAMPRESS)

  • 作者: 上原 孝之
  • 出版社/メーカー: 翔泳社
  • 発売日: 2013/09/13
  • メディア: 単行本(ソフトカバー)



nice!(0)  コメント(0)  トラックバック(0) 

nice! 0

コメント 0

コメントを書く

お名前:
URL:
コメント:
画像認証:
下の画像に表示されている文字を入力してください。

※ブログオーナーが承認したコメントのみ表示されます。

トラックバック 0

この広告は前回の更新から一定期間経過したブログに表示されています。更新すると自動で解除されます。