For Want Of A Better Word

WEBアプリ脆弱性に関してメモ

      2015/04/19

セキュリティ対策をしろ、とざっくり言われて、いつも何を、どこまでやれば良いんだっけでドキドキしているので、ちょっと根っこから整理。

参考:書籍:安全なWEBアプリケーションの作り方

1.脆弱性とは

「悪用できるバグ」

では悪用とは…
  • 本来秘密の情報を勝手に閲覧する。
  • Webサイトの内容を書き換える。
  • 利用者をウイルスに感染させる。
  • 別の利用者になりすます。

などなど

2.脆弱性があるとなぜダメか

  • ユーザーの経済的損失の発生
    • これは開きなおれる。「リスクの受容」。経済的損失が発生したら補てんするよと。
  • 法的な要求

「個人情報の保護に関する法律 」の中で、5000件を超える個人情報を保持する事業者は「安全管理措置をこうじる義務」が課せられている。

「安全管理措置」の具体的な内容は、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」

http://www.meti.go.jp/policy/it_policy/privacy/kaisei-guideline.pdf

なるほどなるほど、これは一回熟読。。

3.脆弱性が生まれる理由

  • バグによるもの
    • SQLインジェクションやクロスサイトスクリプティング
  • チェック機能の不足によるもの
    • ディレクトリトラバーサル(「../とか入れて非公開領域のファイルにアクセス・実行する」)など

 - セキュリティ

  関連記事

lgi01a201309210900
情報セキュリティについてちょっとまとめ

把握したいこと (1)情報セキュリティ何を指していっているのか、 「情報の機密性 …

lgi01a201309210900
PHPセキュリティ

「最善のセキュリティは、通常、ユーザによる業務の達成を防たげずに要求 を十分に達 …

lgi01a201309210900
【OpenVAS】CentOS6.5へのインストールと使い方

チャレンジ。 http://knowledge.sakura.ad.jp/tec …

lgi01a201309210900
プログラミングPHP 第12章( セキュリティ )ポイント

入力のフィルタリング アプリケーションで作成したデータ以外は全て、汚染されている …

lgi01a201309210900
【セキュリティ】ファイアーウォールのパケットフィルタリングのチェック対象

ファイアーウォールのパケットフィルタリングは、基本パケットのヘッダしか見ないと& …