Webアプリケーションの仕様や実装による脆弱性と対策 [情報セキュリティ]
Webアプリケーションの仕様や実装による脆弱性
SQLインジェクションの脆弱性で、DBのデータが不正取得・改ざん・破壊される恐れがある
OSコマンドインジェクションの脆弱性で、Webサーバに不正アクセスされる
HTTPヘッダインジェクションの脆弱性で、クライアントに不正なデータを送信される
Webアプリケーションの仕様や実装による脆弱性への対策
- XSSの脆弱性により、クライアントで悪意のあるスクリプトが実行される可能性がある
- クッキーの不正取得、クライアント環境でのデータ改ざん・破壊など
- 不正な入力フィールドを挿入される(フィッシング)
Webアプリケーションの仕様や実装による脆弱性への対策
- WebアプリケーションからDBへのリクエストはバインド機構やストアドを用いる
- 入力データに適切なエスケープ処理を行う
- DBサーバにアクセスする際には、最小限の権限で行う
- OSコマンドの呼び出しをWebアプリケーションでは極力行わない
- WAFを用いてWebアプリケーションの脆弱性をついた攻撃を遮断する
情報処理教科書 情報セキュリティスペシャリスト 2014年版 (EXAMPRESS)
- 作者: 上原 孝之
- 出版社/メーカー: 翔泳社
- 発売日: 2013/09/13
- メディア: 単行本(ソフトカバー)
Webサーバの実装や設定不備による脆弱性と対策 [情報セキュリティ]
Webサーバの実装や設定不備による脆弱性
エラーメッセージの出力設定不備により、機密情報が漏洩する可能性がある
Webサーバが詳細なエラーメッセージをクライアントに返す設定になっている
HTTPヘッダ情報からWebサーバプログラムの種類やバージョンが漏洩する可能性がある
Webサーバの実装や設定不備による脆弱性への対策
- ディレクトリに関する設定不備により、機密情報にアクセスされる可能性がある
- ディレクトリのアクセス権の設定不備
- ディレクトリ参照が許可されている
- デフォルトページ(index.htmlなど)が置かれていない
Webサーバの実装や設定不備による脆弱性への対策
- Webサーバプログラムのバージョンを最新化する
- 不要な機能・コマンドを無効にする or 制限する
- ディレクトリのアクセス権限を適切に設定する
- 全てのディレクトリにデフォルトページを設置する or ディレクトリ参照を禁止する
- HTTPヘッダにWebサーバプログラムの詳細な情報を含めないようにする
- IPSを用いてOSやWebサーバプログラムの脆弱性をついた攻撃を遮断する
情報処理教科書 情報セキュリティスペシャリスト 2014年版 (EXAMPRESS)
- 作者: 上原 孝之
- 出版社/メーカー: 翔泳社
- 発売日: 2013/09/13
- メディア: 単行本(ソフトカバー)
HTTPの仕様による脆弱性と対策 [情報セキュリティ]
HTTP(プロトコル)の仕様による脆弱性
ベーシック認証では、Webサーバで認証情報を管理する必要があるため、漏えいなどの危険性が高まる
HTTP(プロトコル)の仕様による脆弱性への対策
- HTTPでは通信データが平文でネットワーク中を流れるため、パケット盗聴によって重要な情報が盗まれたり、改ざんされる可能性がある
- ベーシック認証の脆弱性により、パケット盗聴によって認証情報が盗まれる危険性が高い
- HTTPの基本機能であるベーシック認証では、入力された認証情報(ユーザIDとパスワード)がBASE64エンコードされ、ネットワーク中を流れる
- BASE64はバイナリデータをテキストデータに変換する方式であり、エンコードされたデータを復元(デコード)することは容易である
- ベーシック認証では、HTTPリクエストのたびに認証情報が送信される
- 上記の理由から、HTTPでベーシック認証を行っている場合には、パケット盗聴によって認証情報を盗むことは容易である
- 認証情報の一元管理ができず、管理が煩雑になる
- 上記により、漏えいの危険性も高まる
HTTP(プロトコル)の仕様による脆弱性への対策
- 重要な情報を取り扱うWebページではHTTPS(SSL/TLS)によって通信する
- HTTPのベーシック認証は極力使用せず、認証用の入力フォームを用いる(フォーム認証)か、チャレンジレスポンス方式とMD5の採用によって認証情報が秘匿化されるHTTPダイジェスト認証を用いる
- 認証を行う画面では必ずHTTPSを使用する
- ベーシック認証では、認証後もHTTPリクエストのたびに認証情報が送信されるため、全てHTTPSを使用する必要がある
- フォーム認証では認証情報はWebサーバで管理せず、データベースなどを用いて管理する
情報処理教科書 情報セキュリティスペシャリスト 2014年版 (EXAMPRESS)
- 作者: 上原 孝之
- 出版社/メーカー: 翔泳社
- 発売日: 2013/09/13
- メディア: 単行本(ソフトカバー)