「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。 目次 †概要 †Webアプリケーション脆弱性対策のポイント 主なモノ †SQLインジェクション対策の実装方針 †XSS対策の実装方針 †CSRF(XSRF)対策の実装方針 †その他、一般的な脆弱性 †ネットワークの暗号化(HTTPSやSSL-VPN) †
インジェクションに注意 †他システム、エンドユーザからの入力データは信用しない。
クライアント スクリプト インジェクション †
SQLインジェクション †
OSコマンド インジェクション †チェックが必要な部位は、アプリケーションでチェックする必要がある。 バッファ オーバー フロー †.NETでは発生しないが、アンマネージド・モジュールに入力データを渡す場合は注意。 セッション ハイジャックの防止 †特にSession Cookieを盗み、ユーザのSession情報を盗み出す方法。 ネットワークの暗号化(HTTPSやSSL-VPN) †
XSS対策を行う †
データの格納場所、暗号化・改ざん防止 †クライアントに見せられないデータ、改ざんの危険性があるデータは、 データの格納場所 †サーバ側のSessionなどに持たせクライアントから見えないようにする。 暗号化・改ざん防止ロジック †または、ネットワークの暗号化(HTTPSやSSL-VPN)とは別に、ロジックにより個別に暗号化・改ざん防止する。 この際、
設計面 †多重防御に基づいた設計 †全体のセキュリティ バランスをとった、多重防御に基づいた設計
最小特権の原則に従って設計 †
運用面 †セキュリティ アップデートの適用 †
参考 †プロダクト † |