情報処理推進機構:情報セキュリティ:脆弱性対策 : 「Web Application Firewall 読本」を公開
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、ウェブサイトの脆弱性の修正作業が長期化している事例が少なくないことから、ウェブサイト運営者がWeb Application Firewall(ウェブ・アプリケーション・ファイアウォール、WAF)を導入する際の参考となる解説資料「Web Application Firewall 読本」を2010年2月16日(火)からIPAのウェブサイトで公開しました。 URL: http://www.ipa.go.jp/security/vuln/waf.html Web Application Firewall(WAF)は、ウェブアプリケーション(*1)の脆弱性(*2)を悪用した攻撃などからウェブアプリケーションを保護するソフトウェア、またはハードウェアです。WAFは脆弱性を修正するといったウェブアプリケーションの実装面での根本的な対策ではなく
「安全なウェブサイトの作り方」の英語版「How to Secure Your Web Site」を公開:IPA 独立行政法人 情報処理推進機構
独立行政法人 情報処理推進機構(略称:IPA、理事長:西垣 浩司)は、「安全なウェブサイトの作り方」の英語版「How to Secure Your Web Site」を2008年6月11日(水)より、IPAのウェブサイトで公開しました。 「安全なウェブサイトの作り方」は、IPAが届出を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、開発者や運営者が適切なセキュリティを考慮したウェブサイトの構築を可能にするための資料です。 昨今、ウェブアプリケーション開発の海外企業への発注や、海外の現地法人でウェブサイトを運営する機会が増えています。その際に、適切なセキュリティを考慮した実装や運営をするための英語圏の方々へのガイドラインとして、「安全なウェブサイトの作り方」の英語版公開の要望が、国内のウェブサイト開発者や運営者から寄せられています。 このため、
「SQLインジェクション攻撃をログから検出」、IPAが無償ツールを公開
情報処理推進機構(IPA)は2008年4月18日、Webサーバーのアクセスログから、Webサイトへの攻撃を検出するツールを公開した。IPAのWebサイトからダウンロードできる。現在のところ、検出できる攻撃は「SQLインジェクション」のみだが、今後は他の攻撃にも対応する予定。 最近、Webサイトを狙った攻撃(特に、SQLインジェクション攻撃)が相次いでいる。攻撃の結果、ウイルスを感染させるようなコードをWebページに仕込まれたり、Webサイトのデータベースから顧客情報を盗まれたりしている。 そこでIPAでは、Webサーバーのアクセスログを解析して、「SQLインジェクション攻撃をどの程度受けているのか」や「攻撃によって被害が発生していないか(攻撃が“成功”していないかどうか)」を調べるためのツール「iLogScanner」を公開した。 このツールは、Webブラウザー上で実行するJavaアプレッ
安全なウェブサイトの作り方 改定第3版 - 葉っぱ日記
IPAによる「安全なウェブサイトの作り方」の改定第3版が出ていました。あちこちにUTF-7によるXSSネタが出てきているんですが、いくつか気になる点がありました。 まずはP.25から。 HTTP のレスポンスヘッダのContent-Type フィールドには、「Content-Type:text/html; charset=us-ascii」のように、文字コード(charset)を指定することができますが、この指定を省略した場合… 安全なウェブサイトの作り方 改定第3版 (P.25)より。charset をきちんとつけようという例で US-ASCII を示すのはあまり頂けないなと思います。Internet Explorer においては、US-ASCIIの場合は最上位ビットを無視するという問題が2006年から放置されてますので、US-ASCIIを指定してもそれはそれでWebアプリケーション開発
「ウェブサイト運営者のための脆弱性対応ガイド」などを公開:IPA 独立行政法人 情報処理推進機構
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原武平太)は、ソフトウェア製品やウェブサイトのセキュリティ対策などを推進するため、「ウェブサイト運営者のための脆弱性対応ガイド」を含む報告書をとりまとめ、2008年2月28日(木)より、IPAのウェブサイトで公開しました。 本ガイドは、「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居範久 中央大学教授)において、昨年7月から行われた検討の成果です。 IPAでは、IPAから脆弱性に関して通知を行ったウェブサイト運営者や、情報システムの構築事業者、セキュリティに関する有識者など16組織に対して、昨年9月から本年1月までにヒアリングを行い、ウェブサイトの脆弱性対策を促進する上での課題を抽出しました。 このヒアリングにおいて、一部のウェブサイト運営者は情報システムの脆弱性対策について、ウイルス・不正アクセス対策などの他の情報セ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ウェブサイトの攻撃兆候検出ツール iLogScanner | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
