情報セキュリティ：SE学習帳...φ(。_。；)：SSブログ

	ブログをはじめるログイン

情報セキュリティブログトップ
前の3件 | 次の3件

Webアプリケーションの仕様や実装による脆弱性と対策　 [情報セキュリティ]

Webアプリケーションの仕様や実装による脆弱性

XSSの脆弱性により、クライアントで悪意のあるスクリプトが実行される可能性がある
- クッキーの不正取得、クライアント環境でのデータ改ざん・破壊など
- 不正な入力フィールドを挿入される(フィッシング)
SQLインジェクションの脆弱性で、DBのデータが不正取得・改ざん・破壊される恐れがある
OSコマンドインジェクションの脆弱性で、Webサーバに不正アクセスされる
HTTPヘッダインジェクションの脆弱性で、クライアントに不正なデータを送信される

Webアプリケーションの仕様や実装による脆弱性への対策

WebアプリケーションからDBへのリクエストはバインド機構やストアドを用いる
入力データに適切なエスケープ処理を行う
DBサーバにアクセスする際には、最小限の権限で行う
OSコマンドの呼び出しをWebアプリケーションでは極力行わない
WAFを用いてWebアプリケーションの脆弱性をついた攻撃を遮断する

情報処理教科書情報セキュリティスペシャリスト 2014年版 (EXAMPRESS)

情報処理教科書情報セキュリティスペシャリスト 2014年版 (EXAMPRESS)

作者: 上原孝之
出版社/メーカー: 翔泳社
発売日: 2013/09/13
メディア: 単行本（ソフトカバー）

2014-01-20 00:00 nice!(0) コメント(0) トラックバック(0)

Webサーバの実装や設定不備による脆弱性と対策　 [情報セキュリティ]

Webサーバの実装や設定不備による脆弱性

ディレクトリに関する設定不備により、機密情報にアクセスされる可能性がある
- ディレクトリのアクセス権の設定不備
- ディレクトリ参照が許可されている
- デフォルトページ(index.htmlなど)が置かれていない
エラーメッセージの出力設定不備により、機密情報が漏洩する可能性がある Webサーバが詳細なエラーメッセージをクライアントに返す設定になっている
HTTPヘッダ情報からWebサーバプログラムの種類やバージョンが漏洩する可能性がある

Webサーバの実装や設定不備による脆弱性への対策

Webサーバプログラムのバージョンを最新化する
不要な機能・コマンドを無効にする or 制限する
ディレクトリのアクセス権限を適切に設定する
全てのディレクトリにデフォルトページを設置する or ディレクトリ参照を禁止する
HTTPヘッダにWebサーバプログラムの詳細な情報を含めないようにする
IPSを用いてOSやWebサーバプログラムの脆弱性をついた攻撃を遮断する

情報処理教科書情報セキュリティスペシャリスト 2014年版 (EXAMPRESS)

情報処理教科書情報セキュリティスペシャリスト 2014年版 (EXAMPRESS)

作者: 上原孝之
出版社/メーカー: 翔泳社
発売日: 2013/09/13
メディア: 単行本（ソフトカバー）

2014-01-18 00:00 nice!(0) コメント(0) トラックバック(0)

HTTPの仕様による脆弱性と対策　 [情報セキュリティ]

HTTP(プロトコル)の仕様による脆弱性

HTTPでは通信データが平文でネットワーク中を流れるため、パケット盗聴によって重要な情報が盗まれたり、改ざんされる可能性がある
ベーシック認証の脆弱性により、パケット盗聴によって認証情報が盗まれる危険性が高い
- HTTPの基本機能であるベーシック認証では、入力された認証情報(ユーザIDとパスワード)がBASE64エンコードされ、ネットワーク中を流れる
- BASE64はバイナリデータをテキストデータに変換する方式であり、エンコードされたデータを復元(デコード)することは容易である
- ベーシック認証では、HTTPリクエストのたびに認証情報が送信される
- 上記の理由から、HTTPでベーシック認証を行っている場合には、パケット盗聴によって認証情報を盗むことは容易である
ベーシック認証では、Webサーバで認証情報を管理する必要があるため、漏えいなどの危険性が高まる
- 認証情報の一元管理ができず、管理が煩雑になる
- 上記により、漏えいの危険性も高まる

HTTP(プロトコル)の仕様による脆弱性への対策

重要な情報を取り扱うWebページではHTTPS(SSL/TLS)によって通信する
HTTPのベーシック認証は極力使用せず、認証用の入力フォームを用いる(フォーム認証)か、チャレンジレスポンス方式とMD5の採用によって認証情報が秘匿化されるHTTPダイジェスト認証を用いる
認証を行う画面では必ずHTTPSを使用する
ベーシック認証では、認証後もHTTPリクエストのたびに認証情報が送信されるため、全てHTTPSを使用する必要がある
フォーム認証では認証情報はWebサーバで管理せず、データベースなどを用いて管理する

情報処理教科書情報セキュリティスペシャリスト 2014年版 (EXAMPRESS)

情報処理教科書情報セキュリティスペシャリスト 2014年版 (EXAMPRESS)

作者: 上原孝之
出版社/メーカー: 翔泳社
発売日: 2013/09/13
メディア: 単行本（ソフトカバー）

2013-12-22 00:00 nice!(0) コメント(0) トラックバック(0)

前の3件 | 次の3件情報セキュリティブログトップ

RSS1.0 | RSS2.0

この広告は前回の更新から一定期間経過したブログに表示されています。更新すると自動で解除されます。