Copyright © 2024 Information-technology Promotion Agency, Japan(IPA) 法人番号 5010005007126
![脆弱性対策情報 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構](https://cdn-ak-scissors.b.st-hatena.com/image/square/b9ae4e41e8b2184c612831da1241b4cf079ca73a/height=288;version=1;width=512/https%3A%2F%2Fwww.ipa.go.jp%2Fk3q2q400000050d7-img%2Fk3q2q400000050dg.png)
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
サーバー証明書要求の作成 サーバー証明書要求は、 [インターネットインフォメーションサービス]から作成します。 タスクバーの[スタート]ボタンをクリックし、 [プログラム(P)]-[管理ツール]-[インターネットインフォメーションサービス] を選択すると、 [インターネットインフォメーションサービス]が起動します。 [インターネットインフォメーションサービス]ウインドウの左ペインにて、 SSL暗号化通信を設定したいWebサイトを右クリックして、 [プロパティ(R)]を選択します。ここでは、[既定のWebサイト] にSSL暗号化通信を設定するので、 [既定のWebサイト]のプロパティを開きます。 次に、Webサイトのプロパティの[ディレクトリセキュリティ]タブをクリックし、 [サーバー証明書(S)...]ボタンをクリックします。
3.6.2 Microsoft Webサービスのセキュリティ設定 (1) Webサービスの準備 IISをインストール後、最新のセキュリティパッチの適応を、 絶対に忘れないようにしてください。 多発する不正なアクセスを使用したコンテンツ改竄のトラブルは、 IISが持っているセキュリティホールを狙ったものがほとんどです。 Windows 2000 インストール関連でも紹介しましたが、 マイクロソフト社が発信する下記のセキュリティ情報を、最低1日ごと、 できればそれ以上の短いサイクルで確認するようにしてください。 http://www.asia.microsoft.com/japan/technet/security/current.asp (2) 不要な仮想ディレクトリの削除 IISをインストールした場合、デフォルト状態でいくつかのかの、 仮想ディレクトリが作成されています
電子メールはインターネットで使われるアプリケーションの中でも、頻繁に利用されるアプリケーションの1つである。電子メールはSMTP(Simple Mail Transfer Protocol)によって電子メールの送信や中継、転送を実現する。この機能を有するサーバーをSMTPサーバーまたはメールサーバーと呼ぶ。SMTPサーバーはメールを送信や中継、転送するためにインターネットからのアクセスを受け入れなければならず、そのため攻撃の対象になる可能性が非常に高い。 本モデルではSMTPサーバーとしてqmailをインストールし、不正中継防止も含めた設定を実施する。代表的なSMTPソフトウェアにSendmailがあるが、Sendmailは非常に複雑な仕組みで構成されているので、Sendmailの運用には高度な管理能力を必要とする。それに比べ、qmailはシンプルな仕組みになっており、運用管理のコストも低
1) デフォルトWebコンテンツルート(Inetpub)の変更 IIS 5.0ではWebコンテンツの格納用として、デフォルトで「C:\inetpub」フォルダが作成される。この状態でWebサービスを提供することは、外部からWebブラウザ越しでシステムドライブ(Cドライブ)の一部にアクセスを許可している状態である。この状態でWebの脆弱性が発生した場合、本来アクセスできない上位のディレクトリへのアクセスが可能になってしまう危険性がある。 参考資料 情報処理振興事業協会 セキュリティセンター(IPA/ISEC) 「IIS が不要な URL デコード処理を行っていることによってコマンドを実行されうる問題について」 http://www.ipa.go.jp/security/ciadr/vul/200105iisurldecode.html 参考資料で解説しているような不正アクセスによりURLチェ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く