人的 †
パスワード †
運用 †
- 不要なポート、サービスの無効化
- 不要なアカウントの無効化
- インターネット側からの telnet, ftp の接続不可
CSRF (Cross Site Request Forgeries) †
Directory Traversal †
- 利用者が供給した入力ファイル名のセキュリティ検証/無害化が不十分であるため、ファイルAPIに対して「親ディレクトリへの横断 (traverse)」を示すような文字がすり抜けて渡されてしまうことにより、サーバ内部の情報(例えば /etc/passwd)が見られてしまう
HTTPヘッダインジェクション †
- 対策
- APIの利用有無にかかわらず,Cookie値やURLなどの改行コード・チェックを行い,改行があればエラー
- CookieをAPIにて発行する場合は,URLエンコードされていることを確認
- HTTPレスポンス・ヘッダーは,できるだけアプリケーションから直接送出せず,高機能のAPIやライブラリを利用
- アプリケーションから直接Set-Cookieレスポンス・ヘッダーを送出する場合は,Cookie値のURLエンコードを実施
メールの第3者中継 †
ソフトウェア †
ハードウェア †
UTM †
侵入検知システム(IDS) †
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
