情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
想定外の怪しい動きをチェック、EDAが守るセキュリティー
IT機器のセキュリティーの重要性が叫ばれて久しい。たちが最も悪いセキュリティーリスクはハードウエアで発生する。ソフトウエアのセキュリティーリスクはパッチやアップデートでなんとかできるが、ハードウエアのリスクが発覚した場合その対処は難しいからだ。ハードウエア的修理を行うことはソフトウエアより何倍も大変で、機器自体をリプレースするのも簡単にはできない。 ドイツ・ドレスデンで行われていた「2016 Design, Automation and Test in Europe(DATE 2016)」(3月14日~18日)の3月17日のランチキーノート(基調講演)には、米Mentor Graphics社のCEO兼会長のWalden(Wally) C. Rhines氏が登壇した(下の写真)。「Secure Silicon:Enabler for the Internet of Things」と題して、ハ
ゼロディ攻撃を編み出す方法
攻撃に使えるセキュリティ・ホールはどうやって見つけるのだろうか。 攻撃対象アプリケーションのリバース・エンジニアリングから始める者がいる一方で,もっと安易な方法を選ぶ者もいる。安易な方法の一つが,Webサーフィンだ。 「ゼロディ攻撃のためにWebサーフィンするとは,どういう意味だ?」と不思議に思うだろう。 攻撃者たちは「問題にぶつかったアプリケーション開発者が,疑問をオンライン・フォーラムに投稿して助けを求める」と知っているのだ。 開発者の投稿には,「こんなことやあんなことをしたら,Webブラウザがクラッシュする」といった内容のものがある。何らかのアプリケーションなどを「クラッシュ」させるコードを投稿する者も現れる。自分の投稿がセキュリティに悪影響を及ぼしかねないことなど,こうした開発者は理解していない。 ところが攻撃者たちはそのことをよく知っている。セキュリティ・ホールを探す際に使うお気
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
