人的

パスワード

運用

  • 不要なポート、サービスの無効化
  • 不要なアカウントの無効化
  • インターネット側からの telnet, ftp の接続不可

CSRF (Cross Site Request Forgeries)

  • wikipediaでの解説
  • 対策(Webサイト側)
    • 第三者が知り得ない情報をフォームに入力させる

Directory Traversal

  • 利用者が供給した入力ファイル名のセキュリティ検証/無害化が不十分であるため、ファイルAPIに対して「親ディレクトリへの横断 (traverse)」を示すような文字がすり抜けて渡されてしまうことにより、サーバ内部の情報(例えば /etc/passwd)が見られてしまう

HTTPヘッダインジェクション

  • 対策
    • APIの利用有無にかかわらず,Cookie値やURLなどの改行コード・チェックを行い,改行があればエラー
    • CookieをAPIにて発行する場合は,URLエンコードされていることを確認
    • HTTPレスポンス・ヘッダーは,できるだけアプリケーションから直接送出せず,高機能のAPIやライブラリを利用
    • アプリケーションから直接Set-Cookieレスポンス・ヘッダーを送出する場合は,Cookie値のURLエンコードを実施

メールの第3者中継

ソフトウェア

ハードウェア

UTM

  • 販売代理店?
    • Asgent ... 評価機を2週間貸し出すサービスあり

不正アクセス対策


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2021-01-17 (日) 19:19:48 (46d)