Webアプリケーション脆弱性対策
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>脆弱性対策のポイント]]
--[[ネットワーク脆弱性対策]]
--Webアプリケーション脆弱性対策
* 目次 [#n63d920f]
#contents
*概要 [#nf5d22d3]
Webアプリケーション脆弱性対策のポイント
*主な脆弱性と、その対策 [#jb87aa89]
**[[SQLインジェクション対策の実装方針]] [#q3067e97]
**[[XSS対策の実装方針]] [#x3c5804e]
**[[CSRF(XSRF)対策の実装方針]] [#z96a6a63]
*その他、一般的な脆弱性 [#xce1a751]
**ネットワークの暗号化(HTTPSやSSL-VPN) [#v5a384d0]
-基本的に、電文の内容をガードする。
-Sessionにデータを格納すれば、電文には乗らないが、~
下記[[セッション ハイジャック>#xc05b080]]で、漏洩する危険...
**インジェクションに注意 [#z161e17b]
他システム、エンドユーザからの入力データは信用しない。
-エンドユーザ入力は、必ずチェックしてから利用する。
-これは、各種を防ぐ、基本的な防護策である。
-ASP.NETでは、以下の方法でインジェクション系の攻撃をチェ...
***クライアント スクリプト インジェクション [#e1c04b7d]
-別名、クロスサイト スクリプティング(XSS)
-ASP.NETで検証される(デフォルトの設定で検証は有効)。
-詳細:[[XSS対策の実装方針]]
***SQLインジェクション [#nc754092]
-パラメタライズド・クエリで検証される。
-詳細:[[SQLインジェクション対策の実装方針]]
***OSコマンド インジェクション [#q8105ec3]
チェックが必要な部位は、アプリケーションでチェックする必...
***バッファ オーバー フロー [#cb565149]
.NETでは発生しないが、アンマネージド・モジュールに入力デ...
**セッション ハイジャックの防止 [#xc05b080]
特にSession Cookieを盗み、ユーザのSession情報を盗み出す方...
***ネットワークの暗号化(HTTPSやSSL-VPN) [#q0b38462]
-ネットワークのパケット キャプチャを行い、Session Cookie...
-このため、ネットワークの暗号化(HTTPSやSSL-VPN)が必要に...
***XSS対策を行う [#h1f50f9d]
-ネットワークの暗号化(HTTPSやSSL-VPN)をしていても、~
クロスサイト スクリプティング(XSS)で、Session Cookie、...
-詳細:[[XSS対策の実装方針]]
**データの格納場所、暗号化・改ざん防止 [#tf6e738e]
クライアントに見せられないデータ、改ざんの危険性があるデ...
***データの格納場所 [#kcf58d7d]
サーバ側のSessionなどに持たせクライアントから見えないよう...
***暗号化・改ざん防止ロジック [#t8378800]
または、ネットワークの暗号化(HTTPSやSSL-VPN)とは別に、...
この際、
-暗号化や、改ざん防止のロジックには、コードやアプリケーシ...
-暗号化や、改ざん防止のロジックが露呈してもクラッキングさ...
[[一般に流布し安全性が実践的に保証されている暗号化ロジッ...
**設計面 [#r6a67eea]
***多重防御に基づいた設計 [#u6e09d90]
全体のセキュリティ バランスをとった、多重防御に基づいた設計
-部分的にセキュリティを高めても、費用対効果が高いとはいえ...
-複数の手段を組み合わせて実施したほうが、セキュリティ強度...
-従って、要求されるセキュリティ強度をバランスよく実現する。
***最小特権の原則に従って設計 [#v6918259]
-予め、定められた以上のことができないようにアプリケーショ...
-ロックダウンの原則を受け入れ、必要なサーバ機能だけを利用...
-ASP.NETの実行ユーザ アカウント、DBへのログイン アカウン...
**運用面 [#fb7dcd92]
***セキュリティ アップデートの適用 [#l9a3c505]
-セキュリティ アップデートは必ず適用すること。
-テスト環境でテストした後、タイムリーにアップデートを実施...
--セキュリティ アップデートをタイムリーに適用することが重...
--このため、製品修正情報の収集 ~ テスト環境などの整備が...
*参考 [#a229420a]
**[[プロダクト(診断ツール)>https://dotnetdevelopmentinf...
----
Tags: [[:テスト]], [[:ツール類]]
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>脆弱性対策のポイント]]
--[[ネットワーク脆弱性対策]]
--Webアプリケーション脆弱性対策
* 目次 [#n63d920f]
#contents
*概要 [#nf5d22d3]
Webアプリケーション脆弱性対策のポイント
*主な脆弱性と、その対策 [#jb87aa89]
**[[SQLインジェクション対策の実装方針]] [#q3067e97]
**[[XSS対策の実装方針]] [#x3c5804e]
**[[CSRF(XSRF)対策の実装方針]] [#z96a6a63]
*その他、一般的な脆弱性 [#xce1a751]
**ネットワークの暗号化(HTTPSやSSL-VPN) [#v5a384d0]
-基本的に、電文の内容をガードする。
-Sessionにデータを格納すれば、電文には乗らないが、~
下記[[セッション ハイジャック>#xc05b080]]で、漏洩する危険...
**インジェクションに注意 [#z161e17b]
他システム、エンドユーザからの入力データは信用しない。
-エンドユーザ入力は、必ずチェックしてから利用する。
-これは、各種を防ぐ、基本的な防護策である。
-ASP.NETでは、以下の方法でインジェクション系の攻撃をチェ...
***クライアント スクリプト インジェクション [#e1c04b7d]
-別名、クロスサイト スクリプティング(XSS)
-ASP.NETで検証される(デフォルトの設定で検証は有効)。
-詳細:[[XSS対策の実装方針]]
***SQLインジェクション [#nc754092]
-パラメタライズド・クエリで検証される。
-詳細:[[SQLインジェクション対策の実装方針]]
***OSコマンド インジェクション [#q8105ec3]
チェックが必要な部位は、アプリケーションでチェックする必...
***バッファ オーバー フロー [#cb565149]
.NETでは発生しないが、アンマネージド・モジュールに入力デ...
**セッション ハイジャックの防止 [#xc05b080]
特にSession Cookieを盗み、ユーザのSession情報を盗み出す方...
***ネットワークの暗号化(HTTPSやSSL-VPN) [#q0b38462]
-ネットワークのパケット キャプチャを行い、Session Cookie...
-このため、ネットワークの暗号化(HTTPSやSSL-VPN)が必要に...
***XSS対策を行う [#h1f50f9d]
-ネットワークの暗号化(HTTPSやSSL-VPN)をしていても、~
クロスサイト スクリプティング(XSS)で、Session Cookie、...
-詳細:[[XSS対策の実装方針]]
**データの格納場所、暗号化・改ざん防止 [#tf6e738e]
クライアントに見せられないデータ、改ざんの危険性があるデ...
***データの格納場所 [#kcf58d7d]
サーバ側のSessionなどに持たせクライアントから見えないよう...
***暗号化・改ざん防止ロジック [#t8378800]
または、ネットワークの暗号化(HTTPSやSSL-VPN)とは別に、...
この際、
-暗号化や、改ざん防止のロジックには、コードやアプリケーシ...
-暗号化や、改ざん防止のロジックが露呈してもクラッキングさ...
[[一般に流布し安全性が実践的に保証されている暗号化ロジッ...
**設計面 [#r6a67eea]
***多重防御に基づいた設計 [#u6e09d90]
全体のセキュリティ バランスをとった、多重防御に基づいた設計
-部分的にセキュリティを高めても、費用対効果が高いとはいえ...
-複数の手段を組み合わせて実施したほうが、セキュリティ強度...
-従って、要求されるセキュリティ強度をバランスよく実現する。
***最小特権の原則に従って設計 [#v6918259]
-予め、定められた以上のことができないようにアプリケーショ...
-ロックダウンの原則を受け入れ、必要なサーバ機能だけを利用...
-ASP.NETの実行ユーザ アカウント、DBへのログイン アカウン...
**運用面 [#fb7dcd92]
***セキュリティ アップデートの適用 [#l9a3c505]
-セキュリティ アップデートは必ず適用すること。
-テスト環境でテストした後、タイムリーにアップデートを実施...
--セキュリティ アップデートをタイムリーに適用することが重...
--このため、製品修正情報の収集 ~ テスト環境などの整備が...
*参考 [#a229420a]
**[[プロダクト(診断ツール)>https://dotnetdevelopmentinf...
----
Tags: [[:テスト]], [[:ツール類]]
ページ名: