web制作代行【インタフェ】
web制作は、システム開発技術を強みにするマーケティングカンパニー:インタフェ株式会社へ
http://intafe.net/:1
Nucleus CMS v3.41
2012-02-03T10:35:29Z
http://intafe.net/nucleus/logo3f.png
http://intafe.net/nucleus/sitelogo.jpg
<![CDATA[webセキュリティ]]>
intafe
2012-02-03T10:35:29Z
2012-02-03T19:35:29+09:00
脆弱性を持つwebアプリケーションをインターネットに公開して被害が発生した場合、損害賠償という事態に発展することもあるかも知れません。企業の場合は信用問題にも関わってきます。webセキュリティの基本
掲示板やユーザーからの投稿を許可しているサイト・メールフォームなど、外部から入力されるすべてのデータは汚染されている可能性があります。クロスサイトスクリプティング(XSS or CSS)
サイト訪問者に対してJavaScriptやVBScriptなどの悪意あるコードを実行させる攻撃方法です。クロスサイトスクリプティング(XSS or CSS)例
プログラムの入力部分より挿入された悪意あるコードがそのまま出力(表示)され、第三者がそのコードをクリックすることによって、ウィルスに感染させるような悪意あるサイトにリダイレクトされてしまうケースがあります。スクリプト挿入攻撃(Script Insertion)対応
サイト訪問者に対してJavaScriptやVBScriptなどの悪意あるコードを実行させる攻撃方法です。スクリプト挿入攻撃(Script Insertion)例
プログラムの入力部分より挿入された悪意あるコードがそのまま出力(表示)され、第三者がそのコードをクリックすることによってCOOKIEなどの情報を盗まれるケースがあります。クロスサイトリクエストフォージェリ(CSRF or XSRF)
正規の権限を持つユーザーに対して意図しない操作を行わせる攻撃方法です。クロスサイトリクエストフォージェリ(CSRF or XSRF)例
ユーザーの意図しない投稿が書きこまれるという、2005年に大手SNSサイトで発生した騒動が広く知られています。SQLインジェクション
SQLインジェクションは、データベース(DB)に対する命令文(SQL)に対して意図しない命令を注入(inject)することで、DBのデータを改ざんしたり盗み出したりする攻撃方法です。SQLインジェクション例
SQLインジェクションは、個人情報漏洩やWebサイトの改竄によって数千万~数億円規模の損害が発生したこともあり、極めて危険な攻撃です。
セッション固定化攻撃
HTTPプロトコルでは、1回のリクエストに対して、画面を表示して終了してしまいます。従って、複数の画面に渡って処理を行う場合には、セッション管理が必要となります。
セッション固定化攻撃例
第三者がログイン前に(攻撃者が)発行したセッションIDを使いまわしてそのままログインすると、セッション固定化攻撃が成功する可能性が高まります。
セッションハイジャック
セッションハイジャックは、何らかの方法で取得したセッションIDを利用してユーザのセッションを乗っ取る攻撃です。セッションハイジャック例
a) 例えばPHPではセッション情報をURLに埋め込む設定が可能です。(session.use_trans_sid=1)メールの第三者中継
Linux等で安易にメールサーバを立ち上げることができますが、安易なメールフォームは意図せずスパムメール送信の踏み台として利用される恐れがあります。メールの第三者中継例
自社のメールサーバがスパムメール送信の踏み台として利用されてしまうと、自社が被害を受けるだけでなく、意図せず攻撃者となってしまう恐れがあります。ディレクトリトラバーサル
ディレクトリトラバーサルは、ディレクトリを遡ってドキュメントルートの外側に存在するファイルにアクセスする攻撃方法です。
ディレクトリトラバーサル例
ユーザにファイル名を入力してもらうアプリケーションで入力データの検証が不十分な(脆弱性のある)場合、ディレクトリを一層遡るという意味の「../」を含むファイル名を入力されればドキュメントルートの外側にアクセスされる可能性があります。 ―
the ../ (ドットドットスラッシュ) 攻撃ファイルアップロード
不正なファイルアップロードによる攻撃が存在します。
ファイルアップロードに関する攻撃例
アップロードしたファイルを用いてサーバを乗っ取るケースや、巨大なファイルを無理やりアップロードしてサーバのファイルシステムをパンクさせ、サービスを停止させるというケースも存在します。
ファイルアクセスに関する危険性
作成したファイルを他人に覗き見される危険性が存在します。ファイルを他人に覗き見される例
a) パス・ディスクロージャといってわざとエラーを起こさせた上でエラーレポートによりスクリプトのフルパスなどを漏洩させる攻撃が存在します。
http://intafe.net/:1:219
<![CDATA[ファイルアクセスに関する危険性への対応]]>
intafe
2012-02-03T10:34:08Z
2012-02-03T19:34:08+09:00
ファイルアクセスに関する危険性
作成したファイルを他人に覗き見される危険性が存在します。ファイルを他人に覗き見される例
a) パス・ディスクロージャといってわざとエラーを起こさせた上でエラーレポートによりスクリプトのフルパスなどを漏洩させる攻撃が存在します。ファイルアクセスに関する危険性への対応
a) エラーを画面に出力せずファイルにログとして記録してしまうことです。
http://intafe.net/:1:229
<![CDATA[ファイルアップロードに関する攻撃への対応]]>
intafe
2012-02-03T10:13:47Z
2012-02-03T19:13:47+09:00
ファイルアップロード
不正なファイルアップロードによる攻撃が存在します。
ファイルアップロードに関する攻撃例
アップロードしたファイルを用いてサーバを乗っ取るケースや、巨大なファイルを無理やりアップロードしてサーバのファイルシステムをパンクさせ、サービスを停止させるというケースも存在します。
ファイルアップロードに関する攻撃への対応
ブラウザから渡された(入力された)ファイル名を信用せず、推測不可能な独自のファイル名で保存します。
http://intafe.net/:1:228
<![CDATA[ディレクトリトラバーサル対応]]>
intafe
2012-02-03T09:49:41Z
2012-02-03T18:49:41+09:00
ディレクトリトラバーサル
ディレクトリトラバーサルは、ディレクトリを遡ってドキュメントルートの外側に存在するファイルにアクセスする攻撃方法です。
ディレクトリトラバーサル例
ユーザにファイル名を入力してもらうアプリケーションで入力データの検証が不十分な(脆弱性のある)場合、ディレクトリを一層遡るという意味の「../」を含むファイル名を入力されればドキュメントルートの外側にアクセスされる可能性があります。 ―
the ../ (ドットドットスラッシュ) 攻撃ディレクトリトラバーサル対応方法
リクエストからの値をファイル名などに利用しないことが一番確実です。それができない
場合は…インタフェにご相談ください。
http://intafe.net/:1:227
<![CDATA[システム開発]]>
intafe
2012-02-03T03:07:31Z
2012-02-03T12:07:31+09:00
多層アーキテクチャー
HTML5&CSS3は多層アーキテクチャーによって構成されるwebシステムのフロントエンド:プレゼンテーション層に関する技術です。webシステム開発 for example
メールフォーム
メールフォームは本文のテキスト入力以外にも、お客様のご要望に応じて色々なお問い合せ項目をカスタマイズ可能です。「チェックボックス」「ラジオボタン」「プルダウンメニュー」など、質問形式のメールフォームにする事も出来ます。
その他、メールフォームからのファイル送信(メール添付)や内容をデータベースと連動させ、webツールでの管理といった事も可能です。
ブログ
ブログや日記、定期更新の記事などをwebツールから簡単に更新する事ができます。
通常、ブログは1ページにずらっと記事が並んでいますが、記事ごとにページを分けたり、カテゴリで分けたりする事もできます。
掲示板
webツールでテキストを入力するだけで、HTMLがよく分からない方でも簡単にホームページ上のニュースや履歴といった掲載内容を更新する事ができます。
会員制サイト、会員別ページ
会員ID、パスワードでの管理や、会員のみ閲覧できるページ、会員ごとにホームページの内容を変更したり、会員に適した情報を意図的に表示したりする事ができます。ECサイトとホームページの連動
webツールで商品をデータベース管理する事で、ホームページ上にリアルタイムで在庫状況や新商品を掲載する事ができます。
高機能サイト内検索
例えば広告バナ―の並び順を検索結果に応じてコントロールする、当社開発のFoocus[フーカス]サイト内検索 を組み込むなど、高機能なサイト検索機能を付加することが可能です。
webセキュリティ
脆弱性を持つwebアプリケーションをインターネットに公開して被害が発生した場合、損害賠償という事態に発展することもあるかも知れません。企業の場合は信用問題にも関わってきます。
http://intafe.net/:1:36
<![CDATA[メールの第三者中継防止]]>
intafe
2012-02-03T02:55:28Z
2012-02-03T11:55:28+09:00
メールの第三者中継
Linux等で安易にメールサーバを立ち上げることができますが、安易なメールフォームは意図せずスパムメール送信の踏み台として利用される恐れがあります。メールの第三者中継例
自社のメールサーバがスパムメール送信の踏み台として利用されてしまうと、自社が被害を受けるだけでなく、意図せず攻撃者となってしまう恐れがあります。メールの第三者中継防止方法
メールの宛先はもちろんのこと、すべてのメールヘッダにリクエストからの値(入力)を利用しないことが根本的な防止方法となります。
http://intafe.net/:1:226
<![CDATA[クロスサイトリクエストフォージェリ(CSRF or XSRF)対応]]>
intafe
2012-02-03T02:23:11Z
2012-02-03T11:23:11+09:00
クロスサイトリクエストフォージェリ(CSRF or XSRF)
正規の権限を持つユーザーに対して意図しない操作を行わせる攻撃方法です。クロスサイトリクエストフォージェリ(CSRF or XSRF)例
ユーザーの意図しない投稿が書きこまれるという、2005年に大手SNSサイトで発生した騒動が広く知られています。クロスサイトリクエストフォージェリ(CSRF or XSRF)対応方法
攻撃者が、攻撃用の Web ページや脆弱性のあるHTMLメールを用意し、第三者がそれらにアクセスすることによってHTTPリクエストを送信させられる、という手順で
クロスサイトリクエストフォージェリは始まります。
http://intafe.net/:1:222
<![CDATA[クロスサイトスクリプティング(XSS or CSS)対応]]>
intafe
2012-02-03T02:19:11Z
2012-02-03T11:19:11+09:00
クロスサイトスクリプティング(XSS or CSS)
サイト訪問者に対してJavaScriptやVBScriptなどの悪意あるコードを実行させる攻撃方法です。クロスサイトスクリプティング(XSS or CSS)例
プログラムの入力部分より挿入された悪意あるコードがそのまま出力(表示)され、第三者がそのコードをクリックすることによって、ウィルスに感染させるような悪意あるサイトにリダイレクトされてしまうケースがあります。クロスサイトスクリプティング(XSS or CSS)対応方法
webアプリケーションにおいて出力(表示)時に攻撃コードを無効化する充分なエスケープ処理が必要です。
http://intafe.net/:1:220
<![CDATA[スクリプト挿入攻撃(Script Insertion)対応]]>
intafe
2012-02-03T02:17:53Z
2012-02-03T11:17:53+09:00
スクリプト挿入攻撃(Script Insertion)
サイト訪問者に対してJavaScriptやVBScriptなどの悪意あるコードを実行させる攻撃方法です。スクリプト挿入攻撃(Script Insertion)例
プログラムの入力部分より挿入された悪意あるコードがそのまま出力(表示)され、第三者がそのコードをクリックすることによってCOOKIEなどの情報を盗まれるケースがあります。スクリプト挿入攻撃(Script Insertion)対応方法
webアプリケーションにおいて出力(表示)時に攻撃コードを無効化する充分なエスケープ処理が必要です。
http://intafe.net/:1:221
<![CDATA[SQLインジェクション対応]]>
intafe
2012-02-03T02:14:54Z
2012-02-03T11:14:54+09:00
SQLインジェクション
SQLインジェクションは、データベース(DB)に対する命令文(SQL)に対して意図しない命令を注入(inject)することで、DBのデータを改ざんしたり盗み出したりする攻撃方法です。SQLインジェクション例
SQLインジェクションは、個人情報漏洩やWebサイトの改竄によって数千万~数億円規模の損害が発生したこともあり、極めて危険な攻撃です。
SQLインジェクション対応方法
SQLインジェクションは、入力値を適切に(漏れなく徹底的に)エスケープすることで防ぐことができます。
http://intafe.net/:1:223
]]>
