IPAが「安全なウェブサイトの作り方」改訂、XSSなど“失敗例”の章を追加Windows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
第1回 まずは「クッキー」を理解すべし
Webアプリケーションのぜい弱性がなかなかなくならない。メディアなどでも盛んに取り上げられているにもかかわらず,である。特に,セッション管理がからむアプリケーションのぜい弱性には,気付かないことが多い。具体的には「クロスサイト・リクエスト・フォージェリ」(CSRF),「セッション・フィクセーション」などである。これらはクロスサイト・スクリプティング,SQLインジェクションといった比較的メジャーなぜい弱性に比べて認知度が低く,対策も進んでいない。 原因の一つは,アプリケーションの開発者が原因を正しく理解していないこと。CSRFやセッション・フィクセーションについて言えば,セッション管理に使うクッキー(cookie)の動作を理解していないと対策が難しい。ところが最近の開発環境では,セッション管理の仕組みが隠ぺいされているため,必ずしもこの知識は要求されない。こうした開発者は容易にはぜい弱性に気
「画像認証」ではアカウントの不正取得を防げない、専門家が指摘
米IBMのセキュリティ部門「インターネットセキュリティシステムズ(ISS)」の責任者の一人であるガンター・オールマン氏は2008年2月25日(米国時間)、同社の公式ブログにおいて、「画像認証(CAPTCHA:キャプチャ)」の現状を解説した。画像認証では、メールアカウントの不正取得などを防げないという。 画像認証とは、画面に表示された文字列画像をユーザーに“解読”させる認証方法。機械的な読み取りが困難な崩れた文字列の画像を表示し、その文字列を入力させることで、作業を行っているのが人間かどうかを判断する。 無料のメールサービスなどでは、自動化プログラムによるアカウントの不正取得を防ぐために、画像認証を導入している。「コメントスパム」対策として導入しているブログサイトもある。コメントスパムとは、自動化プログラムを使って、ブログのコメント欄に商品などの宣伝を手当たり次第に記載する手口のこと。 攻撃
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
