For Want Of A Better Word

WEBアプリ脆弱性に関してメモ

      2015/04/19

セキュリティ対策をしろ、とざっくり言われて、いつも何を、どこまでやれば良いんだっけでドキドキしているので、ちょっと根っこから整理。

参考:書籍:安全なWEBアプリケーションの作り方

1.脆弱性とは

「悪用できるバグ」

では悪用とは…
  • 本来秘密の情報を勝手に閲覧する。
  • Webサイトの内容を書き換える。
  • 利用者をウイルスに感染させる。
  • 別の利用者になりすます。

などなど

2.脆弱性があるとなぜダメか

  • ユーザーの経済的損失の発生
    • これは開きなおれる。「リスクの受容」。経済的損失が発生したら補てんするよと。
  • 法的な要求

「個人情報の保護に関する法律 」の中で、5000件を超える個人情報を保持する事業者は「安全管理措置をこうじる義務」が課せられている。

「安全管理措置」の具体的な内容は、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」

http://www.meti.go.jp/policy/it_policy/privacy/kaisei-guideline.pdf

なるほどなるほど、これは一回熟読。。

3.脆弱性が生まれる理由

  • バグによるもの
    • SQLインジェクションやクロスサイトスクリプティング
  • チェック機能の不足によるもの
    • ディレクトリトラバーサル(「../とか入れて非公開領域のファイルにアクセス・実行する」)など

 - セキュリティ

  関連記事

lgi01a201309210900
【OpenVAS】CentOS6.5へのインストールと使い方

チャレンジ。 http://knowledge.sakura.ad.jp/tec …

lgi01a201309210900
Googleのクロスサイトスクリプティング勉強ページに挑戦

https://xss-game.appspot.com/ むむむ、なんとかLe …

lgi01a201309210900
【セキュリティ】マルウェアウェア、ウイルス、ボットの違い

Contents1 マルウェア2 ウイルス3 ボット(twitterのボットとも …

lgi01a201309210900
情報セキュリティについてちょっとまとめ

把握したいこと (1)情報セキュリティ何を指していっているのか、 「情報の機密性 …

lgi01a201309210900
【SSL】ssl testで「C4 Yes INSECURE」となったときの対処法

参考:http://qiita.com/sion_cojp/items/99fe …