入力値の妥当性チェック
サーバで必ず行う
クライアントでの入力値チェックはユーザビリティの向上させる必要がある場合に実施する。
HTML出力時には特殊記号をエスケープ処理する(クロスサイトスクリプティングを防ぐ為にサニタイジング)
Strutsのbeen:write または JSTLのc:out を使用すること。このタグはHTMLの特殊記号( < > , " ‘ & )を変換する機能を持つ。
SQL出力時にはバインドメカニズムを利用してSQLインジェクションを防ぐ
プレースホルダとして「?」記号を使用しSQL文をあらかじめコンパイルしておくこと。
外部コマンド呼び出し時の妥当性チェック
http://www.atmarkit.co.jp/fsecurity/rensai/webhole02/webhole02.html
ファイル名指定時の妥当性チェック
任意の場所にファイルをアップロードされる事がないように、ファイル名に使用される記号をサニタイジングする。
できれば通信は全てSSLで保護する。
セキュアモードCookieの利用 WebLogicの設定の場合、
weblogic.xml デプロイメント記述子の、
cookie-secureをtrueに設定する。
クッキーを HTTPS 接続でのみ返信するようブラウザに指示する。これにより、クッキー ID が保護され、HTTPS を使用する Web サイトでのみ使用されるようになる。この機能を有効にすると、HTTP でのセッション クッキーは機能しなくなる。
安全なセッションIDの使用
セッションID用のcookieの生成・維持はWebLogicサーバによって自動的に行われます。
アクセス権限のチェック
チェックしましょう。
セッションタイムアウトの設定
セッションは一定時間が過ぎると切断されるように設定する。長期(例えば1日以上)のセッション保持は行わない。
Cookieの有効ドメイン範囲制限
Cookieの有効度メイン範囲は必ず限定しCookieの漏洩を防ぐ。
Cookieのハードディスクへの保存禁止。有効期限を指定しない事
Weblogicではデフォルトでユーザがブラウザを終了すると期限が切れるようにクッキーが設定されているので問題ありません。
認証後に、新たなセッションIDを発行する事。ログインページではセッションIDを発行しない
セッションIDをGETメソッドで送らない
CookieによるセッションIDの管理を行う。
脆弱なパスワードの拒否
ログイン、リトライ可能回数の制限
本案件ではユーザ名、パスワードでのログインは行わない。
平文パスワード保存の禁止
DBに保存するパスワードはハッシュ化しましょう。
秘密情報は画面へ表示しない
秘密情報は画面へ表示しない事。表示しなければならない場合、マスクして表示するなどの対策を行う。
本番環境にソースファイルやバックアップファイルなど不要なファイルを置かない。
アタックの足がかりになることがあります。
管理機能へのアクセス制限、原則、インターネット経由でのアクセスを禁止する
Webアプリケーションアセスメントの実施
「セキュリティアセスメントサービス」等を受けるようにする。
Webシステムペネストレーションテストの実施
コンピュータやネットワークのセキュリティ上の弱点を発見するテスト手法の一つで、システムを実際に攻撃して侵入を試みる手法。実際にWebサーバへアクセスしアタックを行いセキュリティホールが存在しないか確認する。
「Web開発するときに気になること」への3件のフィードバック
コメントは受け付けていません。
SECRET: 0
PASS: 07af5b8e07a195e1e93130d7617e5041
セキュリティー強化のメールフォームを検索で探していたら、このサイトにたどり着きました。
まったりさんが開発されているプログラムは、どこかで使用できるのでしょうか?もし、どこかのサイトで有料配布されている、もしくは、会社として開発依頼を受けられているのであれば、教えていただけますか?よろしくお願いします。
SECRET: 0
PASS: eb0376f6315c112cd72971978233d401
こんにちは。まったりです。
私が所属している会社で開発依頼をお受けしておりますよ。
株式会社あんどシステム
電話:06-6268-6862
メール:and@and-s.com
担当:金田までお気軽にご連絡ください!
(Webシステム・Webデザイン)
http://www.andsys.jp
(システム開発)
http://www.and-s.com
SECRET: 0
PASS: 07af5b8e07a195e1e93130d7617e5041
お返事ありがとうございました。
早速、HPの方拝見させてもらいます。
今後とも、よろしくお願いします。