情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
情報処理推進機構:情報セキュリティ:H18年度ウェブアプリケーション開発者向けセキュリティ実装講座の開催について
※講演資料を掲載しました。 独立行政法人 情報処理推進機構(IPA)は、安全なインターネットの利用をめざして、最近、IPAが届出を受けた脆弱性関連情報を基に、届出の多かった脆弱性や攻撃を受けた場合の影響度が大きい脆弱性を取り上げ、その解決策を紹介するセキュリティ実装講座を企画しました。 本講座は本年2月、4月に実施しましたが、好評でしたので、今回は、新たに脆弱性の深刻度評価を用いた届出情報の分析結果や、ウェブアプリケーションの発注者が考慮すべき点なども紹介します。また、開発者の方から安全なウェブアプリケーションの開発に向けた取組み状況を紹介していただきます。 IPAでは、2004年7月8日に脆弱性関連情報の届出受付を開始してから2年4ヶ月が経過し、10月末までにソフトウエア製品に関するもの330件、ウェブアプリケーション(ウェブサイト)に関するもの687件、合計1,017件となり、1
IPA セキュア・プログラミング講座 「Webアプリケーション編」に「Web関連技術」を追加
本ページの情報は、2016年10月時点のものです。2023年10月に再構成をいたしました。 なお、内容に変更はありません。 2016年10月版 2002年2月に「Webプログラマコース」と「製品プログラマコース」、2007年の6月に「Webアプリケーション編」、9月に「C/C++編」と分けて公開してきた講座のうち、原則を中心として共通的なものをまとめて2016年10月に再編しました。 なお、資料内の参照先はすべてサイトリニューアル前のURLであるため、リダイレクトを設定しています。 セキュア・プログラミング講座(2016年10月版/2017年6月一部修正)(PDF:2.3 MB) 2007年版 「ソースコード検査技術の脆弱性検出能力向上のための研究」(注釈1)を実施した一環として取りまとめた内容を、2002年から公開していたセキュア・プログラミング講座(旧版)の改訂版(2007年版)として
情報処理推進機構:セキュリティセンター:脆弱性関連情報取扱い:安全なウェブサイトの作り方
IPAでは、ウェブサイト運営者が、ウェブサイト上で発生しうる問題に対し、適切な対策ができるようにするための注意事項として、『安全なウェブサイトの作り方』を取りまとめ、公開いたしました。 この資料は、昨年(2005年3月4日)にショッピングサイト運営者がウェブサイト上で発生しうる問題に対し、適切な対策ができるようにするための注意事項として発行した『消費者向け電子商取引サイトの運用における注意点』を、より広いウェブサイトの運営者に利用いただくことを目的に、内容の全面改訂を行ったものです。 『安全なウェブサイトの作り方』では、「ウェブアプリケーションのセキュリティ実装」として、IPAが届出を受けたソフトウエア製品およびウェブアプリケーションの脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、脆弱性の原因そのものをなくす根本的な解決策と、攻撃による影響の低減
SQLインジェクション検出ツール「iLogScanner」を機能強化:IPA 独立行政法人 情報処理推進機構
なお、iLogScannerでSQLインジェクション攻撃が検出された場合や、特に攻撃が成功した可能性が検出された場合は、ウェブサイトの開発者やセキュリティベンダーに相談されることを推奨します。 iLogScannerは簡易ツールであり、ウェブサイトの脆弱性を狙った攻撃のアクセスログが無ければ脆弱性を検出しません。また、実際の攻撃による脆弱性検査は行っていません。攻撃が検出されない場合でも安心せずに、ウェブサイトの脆弱性検査を行うことを推奨します。 IPAとしては、ウェブサイト運営者が、この脆弱性検出ツールを利用することにより、自組織のウェブサイトに潜む脆弱性を確認するとともに、ウェブサイト管理者や経営者に対して警告を発し、セキュリティ監査サービスを受けるなど、脆弱性対策を講じるきっかけとなることを期待しています。 また、ウェブサイトの開発者やセキュリティベンダーが、本ツールを取引先等に紹介
IPA ISEC セキュア・プログラミング講座:Webアプリケーション編 第1章 総論:より良いWebアプリケーション設計のヒント
ここで述べるのは、脆弱性が生まれにくいWebアプリケーションを構築するために設計段階、あるいはそれ以前の段階で考慮しておくとよい事項の例である。 (1) 開発環境の選択 1) プログラマが脆弱性をつくり易い環境を避ける 今日のWEBアプリケーション開発環境は、プログラミング言語の処理系に加えて、開発フレームワークやコンテンツ管理システム(CMS)、さらに外部のテンプレート言語までを加えた総合的な環境となってきている。 短時日で素早くサイトを立ち上げることを目的として、「軽量言語」と呼ばれる各種スクリプト言語が標準で備えているWEBアプリケーションを手軽に開発するための機能やライブラリをそのまま利用することは悪くない。しかし、その手軽さ故に、セキュリティの観点からは多くの脆弱性を生んできた経緯がある。 例えば、下記の事例が挙げられる。 PHPの4.1以前のバージョンの環境は、「registe
4-2. Perl の危険な関数
Perlには他のプログラムを起動したり,文字列で与えられた式を実行時に解釈実行する機能を持つ関数が用意されている。こうした関数に与える引数は,十分に吟味しないと,悪用されて意図しないコマンドを実行させられる。 Perlには外部プログラムとの連携機能が複数組み込まれている。Perlは連携機能を実現するため内部的にUnixシェルを起動する(注1)。そのため連携機能をユーザ入力データなどの外部から与えられるデータと組み合わせて使用する場合,外部からシェルコマンドを混入され実行されてしまう可能性がある。次の関数はこのような問題につながる注意すべき関数や構文である。 open system, exec, ``(backticks) <>(fileglob),glob C言語などのコンパイル系言語と異なりPerlはスクリプト系言語である。Perlは実行時にプログラムを解釈して実行する。eval
情報処理推進機構:重要なお知らせ:頁
1.概要 今般、次の2.a)のIPAセミナー受付フォームにおいて、クロスサイト・スクリプティング(注)のぜい弱性が発見されました。このぜい弱性を悪用された場合、当該フォームにて申し込みをしようとした方のブラウザ上で不正なスクリプトが実行されてしまう可能性がありました。当該脆弱性を確認した時には、当該セミナーは、募集定員(70名)を超えるお申し込みとなっていました。募集を締め切らせていただくとともに、至急同受付フォームを点検し、再発防止策を講ずるため、1月31日午前11時に同受付フォームのページを閉じさせていただきました。 併せて、当該脆弱性が発見された受付フォームのプログラムを共有する他の受付フォームのページについても、点検のためページを閉じさせていただきました。点検の結果、その受付フォームにおいてもクロスサイト・スクリプティングの脆弱性が確認されましたので、改修した上、脆弱性検査を行
情報漏えい発生時の対応ポイント集:IPA 独立行政法人 情報処理推進機構
情報漏えい事故が発生した時に参考となる小冊子「情報漏えい発生時の対応ポイント集」をウェブで公開いたしました。 本小冊子は、情報漏えいインシデント対応マニュアルを整備していない中小企業などにおいて、情報漏えい事故が発生した場合、何をする必要があるか、何に気をつけなければいけないかを経営者をはじめとする対応チームの方々が短時間に理解し、速やかに適切な対応ができるように参考書として活用できるようまとめてあります。 本小冊子は、情報漏えいインシデント対応における基本作業ステップや情報共有、発表などの共通的な事項に関するノウハウと、情報漏えいタイプ別の対応作業内容や留意点のノウハウをわかりやすく解説しています。 なお、より詳しい内容につきましては、「情報漏えいインシデント対応方策に関する調査報告書」を公開していますので、併せてご利用ください。
情報処理推進機構:情報セキュリティ
サイバーセキュリティお助け隊サービス中小企業のサイバーセキュリティ対策に不可欠な各種サービスを、ワンパッケージで安価に提供するサービスです。サイバーセキュリティお助け隊サービスのサービス利用料は、IT導入補助金で支援が受けられます。 パスワード もっと強く君を守りたい原宿にて「パスワード」の大切さを啓発するマンガポスターを掲示しています。このポスターを学校や会社でも掲示したいとの声を受けて販売もしています。 ISMAP政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program: 通称、ISMAP(イスマップ))は、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサ
「安全なウェブサイト運営入門」におけるOSコマンド・インジェクションの脆弱性:IPA 独立行政法人 情報処理推進機構
「安全なウェブサイト運営入門」にOSコマンド・インジェクションの脆弱性が存在することが判明しました。 この脆弱性を悪用された場合、悪意ある第三者の攻撃により「安全なウェブサイト運営入門」が動作しているコンピュータ上でOSコマンドが実行されてしまう危険性があります。 このことから「安全なウェブサイト運営入門」は使用しないでください。 脆弱性の説明 「安全なウェブサイト運営入門」が、細工されたセーブデータを読み込むことで任意の OSコマンドを実行される可能性があります。 脆弱性がもたらす脅威 悪意のある第三者によってコンピュータが任意に操作される可能性があります。 対策方法 「安全なウェブサイト運営入門」を使用しない。 「安全なウェブサイト運営入門」の開発およびサポートは終了いたしました。そのため、今後本脆弱性の対策版を提供する予定はありません。「安全なウェブサイト運営入門」の使用を停止してく
ウェブアプリケーション開発者向けセキュリティ実装講座の開催について
独立行政法人 情報処理推進機構(IPA)におきましては、安全なインターネットの利用をめざして、最近、IPAが届出を受付けたウェブアプリケーションの脆弱性関連情報などを基に、影響度が大きい脆弱性を取り上げ、その解決策を紹介するセキュリティ実装講座を企画いたしました。 ウェブアプリケーションの開発者・技術者および研究者を対象としていますが、ウェブサイトへの新たな脅威に関する内容も含まれるため、ウェブサイト運営者の方々にもご聴講をお勧めします。 記 1.日時 第1回:平成18年2月28日(火) 13:00 ~16:15 受付は終了しました。 第2回:平成18年4月 4日(火) 13:00 ~16:15 受付は終了しました。
脆弱性関連情報取扱い:APOP方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について:IPA 独立行政法人 情報処理推進機構
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原武平太)は、メールの受信に利用される認証方式の一つであるAPOP(エーポップ)方式におけるセキュリティ上の弱点(脆弱性)に関する注意喚起を2007年4月19日に公表しました。 具体的には、APOP方式にはパスワードが漏えいする脆弱性があるというものです。悪用されると、メールの受信に利用しているパスワードが、SSHやウェブサイトへのログインに利用しているパスワードと同一の場合、不正なログインに利用される可能性があります。 プロトコル(通信手順)上の問題であり、現時点で根本的な対策方法はありません。 回避方法は「『POP over SSL』や『ウェブメール』など、SSLによる暗号化通信を利用する」ことです。回避方法が取れない場合「メールのパスワードを他のシステムのパスワードと同一にしない」ことで悪用された際の被害を軽減できます。 電子メ
高品位日本語フォント「IPAフォント 」の一般利用者向け無償配布を開始
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)は、環境を問わない共通の日本語基盤として、誰でも無償で自由に利用できるフォント「IPAフォント(アイピーエー フォント)の一般利用者への配布を2007年10月1日より開始しました。 IPAでは、2003年末より、IPAが全権利を所有する「IPAフォント」を公開してきました。これまで、同フォントはIPAが支援したプロジェクトで開発されたソフトウェアの活用を目的として配布しており、それ以外の利用については対応していませんでした。今般、IPAフォントをより多くの方々に、それぞれの日本語表示環境で高品質の日本語フォントを活用していただけるよう、一般利用者向けの使用許諾条件を定め、無償で提供を開始しました。 IPAフォントは、画面表示と印刷の両方に利用できる、美しいデザインのアウトラインフォントです。明朝体とゴシック体があり、それ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
A. WEBプログラマコース
IPA セキュア・プログラミング講座
IPA ISEC セキュア・プログラミング講座
IPA-安全なウェブサイトの作り方2021年改訂第7版.pdf
Security1-2. クロスサイトスクリプティング
PKI 関連技術情報:IPA 独立行政法人 情報処理推進機構