Takeshi Amano
p****@takes*****
2008年 3月 11日 (火) 15:30:06 JST
天野です。 > IPAで「安全なウェブサイトの作り方 改訂第3版」が公開されていますが > http://www.ipa.go.jp/security/vuln/websecurity.html >木下さん こちらきれいにまとまっていていいですね。 ここの「ウェブアプリケーションのセキュリティ実装」からポイントを 抜粋すると 1. SQLインジェクション 2. OSコマンド・インジェクション 3. パス名パラメータの未チェック/ディレクトリ・トラバーサル 4. セッション管理の不備 5. クロスサイトスクリプティング 6. CSRF (クロスサイト・リクエスト・フォージェリ) 7. HTTP ヘッダインジェクション 8. メール第3者中継 9. アクセス制御や認可制御の欠落 CIのセキュリティ対策として天野が思いつくのは以下の通り 1. SQLインジェクション モデルを使ってパラメーター渡しにすればok 5. クロスサイトスクリプティング config.php内の $config['global_xss_filtering'] = TRUE;; にすることでok 他にも何かCIでカバーできることってありますでしょうか? その他のポイントはwebアプリの値の渡し方などフレームワークで カバーしうるエリア以外の様にも思えますが、それも含めて全ての ポイントに関してきちんと説明してあるといいと思います。 wikiにまとめましょうかね? Takeshi Amano There are two ways to live your life. One is as though nothing is a miracle. The other is as though everything is a miracle - Albert Einstein