情報処理推進機構:情報セキュリティ:H18年度ウェブアプリケーション開発者向けセキュリティ実装講座の開催について
※講演資料を掲載しました。 独立行政法人 情報処理推進機構(IPA)は、安全なインターネットの利用をめざして、最近、IPAが届出を受けた脆弱性関連情報を基に、届出の多かった脆弱性や攻撃を受けた場合の影響度が大きい脆弱性を取り上げ、その解決策を紹介するセキュリティ実装講座を企画しました。 本講座は本年2月、4月に実施しましたが、好評でしたので、今回は、新たに脆弱性の深刻度評価を用いた届出情報の分析結果や、ウェブアプリケーションの発注者が考慮すべき点なども紹介します。また、開発者の方から安全なウェブアプリケーションの開発に向けた取組み状況を紹介していただきます。 IPAでは、2004年7月8日に脆弱性関連情報の届出受付を開始してから2年4ヶ月が経過し、10月末までにソフトウエア製品に関するもの330件、ウェブアプリケーション(ウェブサイト)に関するもの687件、合計1,017件となり、1
IPA: 未踏ソフトウェア創造事業:2006年下期未踏ソフト 公募結果
※公開内容について確認が取れ次第、順次、テーマ名にリンクさせて採択テーマ概要を公開します。 9月29日までに受付けた2006年度下期公募で、提案テーマ 数178件(応募総数は273件(注))の中から、44件の採択プロジェクトが決定しました。 今 回、本事業により採択された44件のプロジェクトは、各プロジェクトマネジャーにより選抜された独創性にあふれるスーパークリエータ予備軍による提案で す。採択者(代表者)は、企業従事者が全体の34.1%(15件)を占め、学生・大学院生が31.8%、大学・研究機関従事者が 22.7%、その他が11.4%となっています。また、採択者の平均年齢は29.9歳(上期は30.8歳)です。 (注)未踏ソフト ウェア創造事業では、同一テーマで複数PMへの応募が可能であり、複数PMへの応募を除いた提案テーマ数は178件ですが、複数PMへの応募を含めた応募 総
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
情報処理推進機構:プレス発表 - 「情報セキュリティ標語2006」の入選作品決定
2006年 5月12日 独立行政法人 情報処理推進機構 セキュリティセンター 独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)は、5月9日に「情報セキュリティ標語2006」の審査委員会※1を開催し、大賞以下、計10作品の入選を決定しました。 これは、韓国の韓国情報保護振興院※2(KISA、院長:李 弘燮(リ・ホンソブ))との共同事業の一環として、コンピュータウイルスの感染やコンピュータへの不正な侵入、 ワンクリック詐欺などの被害に遭わないよう、 特に若年層の「情報セキュリティ対策」の意識を高めるために、本年3月より全国の小学生・中学生・高校生から募集していたものです。 KISAでは、毎年6月に開催する「情報セキュリティ週間」において、同様の標語の募集を行っております。日本の入選作品に関しては、KISAに送付して、韓国語に翻訳したのち、 韓国におい
ウェブアプリケーション開発者向けセキュリティ実装講座の開催について
独立行政法人 情報処理推進機構(IPA)におきましては、安全なインターネットの利用をめざして、最近、IPAが届出を受付けたウェブアプリケーションの脆弱性関連情報などを基に、影響度が大きい脆弱性を取り上げ、その解決策を紹介するセキュリティ実装講座を企画いたしました。 ウェブアプリケーションの開発者・技術者および研究者を対象としていますが、ウェブサイトへの新たな脅威に関する内容も含まれるため、ウェブサイト運営者の方々にもご聴講をお勧めします。 記 1.日時 第1回:平成18年2月28日(火) 13:00 ~16:15 受付は終了しました。 第2回:平成18年4月 4日(火) 13:00 ~16:15 受付は終了しました。
4-2. Perl の危険な関数
Perlには他のプログラムを起動したり,文字列で与えられた式を実行時に解釈実行する機能を持つ関数が用意されている。こうした関数に与える引数は,十分に吟味しないと,悪用されて意図しないコマンドを実行させられる。 Perlには外部プログラムとの連携機能が複数組み込まれている。Perlは連携機能を実現するため内部的にUnixシェルを起動する(注1)。そのため連携機能をユーザ入力データなどの外部から与えられるデータと組み合わせて使用する場合,外部からシェルコマンドを混入され実行されてしまう可能性がある。次の関数はこのような問題につながる注意すべき関数や構文である。 open system, exec, ``(backticks) <>(fileglob),glob C言語などのコンパイル系言語と異なりPerlはスクリプト系言語である。Perlは実行時にプログラムを解釈して実行する。eval
情報処理推進機構:セキュリティセンター:脆弱性関連情報取扱い:安全なウェブサイトの作り方
IPAでは、ウェブサイト運営者が、ウェブサイト上で発生しうる問題に対し、適切な対策ができるようにするための注意事項として、『安全なウェブサイトの作り方』を取りまとめ、公開いたしました。 この資料は、昨年(2005年3月4日)にショッピングサイト運営者がウェブサイト上で発生しうる問題に対し、適切な対策ができるようにするための注意事項として発行した『消費者向け電子商取引サイトの運用における注意点』を、より広いウェブサイトの運営者に利用いただくことを目的に、内容の全面改訂を行ったものです。 『安全なウェブサイトの作り方』では、「ウェブアプリケーションのセキュリティ実装」として、IPAが届出を受けたソフトウエア製品およびウェブアプリケーションの脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、脆弱性の原因そのものをなくす根本的な解決策と、攻撃による影響の低減
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IPA ISEC セキュア・プログラミング講座
A. WEBプログラマコース