セキュリティ対策 の変更点

http://wiki.examind.net/index.php?%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E5%AF%BE%E7%AD%96

[ トップ ]   [ 編集 | 差分 | バックアップ | 添付 | リロード ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ | ログイン ]

• 追加された行はこの色です。
• 削除された行はこの色です。
• セキュリティ対策 は削除されています。
• セキュリティ対策 の差分を削除

---

#author("2021-05-07T04:11:46+00:00","default:admin","admin")
-[[IPA 情報セキュリティ:http://www.ipa.go.jp/security/]]
--[[IPA セキュア・プログラミング講座:http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html]]
--[[共通セキュリティ設定一覧CCE概説:https://www.ipa.go.jp/security/vuln/CCE.html]]
#author("2022-06-19T11:36:06+00:00","default:admin","admin")

-[[インジェクション系攻撃への防御の鉄則:http://itpro.nikkeibp.co.jp/article/COLUMN/20070422/269134/]]
-[[脆弱性診断.jp:http://xn--v1t6us6kb66awvj.jp/]]

* 人的 [#tf9feeb8]
-[[ソフトバンク、驚きのセキュリティ管理:https://jbpress.ismedia.jp/articles/-/63641]]

** パスワード [#o51cdacd]

* 運用 [#k78619cf]
-不要なポート、サービスの無効化
-不要なアカウントの無効化
-インターネット側からの telnet, ftp の接続不可

** CSRF (Cross Site Request Forgeries) [#p8c4e192]
-[[wikipediaでの解説:http://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AD%E3%82%B9%E3%82%B5%E3%82%A4%E3%83%88%E3%83%AA%E3%82%AF%E3%82%A8%E3%82%B9%E3%83%88%E3%83%95%E3%82%A9%E3%83%BC%E3%82%B8%E3%82%A7%E3%83%AA]]
-対策（Webサイト側）
--第三者が知り得ない情報をフォームに入力させる

** Directory Traversal [#l6728c28]
-[[wikipediaでの解説:http://ja.wikipedia.org/wiki/%E3%83%87%E3%82%A3%E3%83%AC%E3%82%AF%E3%83%88%E3%83%AA%E3%83%88%E3%83%A9%E3%83%90%E3%83%BC%E3%82%B5%E3%83%AB]]

-利用者が供給した入力ファイル名のセキュリティ検証/無害化が不十分であるため、ファイルAPIに対して「親ディレクトリへの横断 (traverse)」を示すような文字がすり抜けて渡されてしまうことにより、サーバ内部の情報（例えば /etc/passwd）が見られてしまう

** HTTPヘッダインジェクション [#z9727149]
-対策
--APIの利用有無にかかわらず，Cookie値やURLなどの改行コード・チェックを行い，改行があればエラー
--CookieをAPIにて発行する場合は，URLエンコードされていることを確認
--HTTPレスポンス・ヘッダーは，できるだけアプリケーションから直接送出せず，高機能のAPIやライブラリを利用
--アプリケーションから直接Set-Cookieレスポンス・ヘッダーを送出する場合は，Cookie値のURLエンコードを実施 

** メールの第3者中継 [#ebe1df4e]
-[[メールの第三者中継対策:http://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/201.html]]

* ソフトウェア [#pf0625ad]
-[[ServerProtect for Linux - TrendMicro:http://jp.trendmicro.com/jp/products/enterprise/sp-linux/]]
-[[Security-GENERAL - ソフトエイジェンシー:http://www.softagency.co.jp/products/security-general/]]
-[[HDE Anti-Virus:http://www.hde.co.jp/hav/]]

* ハードウェア [#xd5e59cc]
** UTM [#s14a8ed1]
-[[UTM（統合脅威管理）チェック・ポイント・ソフトウェア・テクノロジーズ:http://www.checkpoint.co.jp/products/utm/]]
--[[チェック・ポイント、低価格な「UTM-1 Edge N」など2機種:http://ascii.jp/elem/000/000/522/522613/]]

-販売代理店？
--[[Asgent:http://www.asgent.co.jp/]] ... 評価機を2週間貸し出すサービスあり

*不正アクセス対策 [#x93a3f23]
-[[wikipedia - 侵入検知システム:http://ja.wikipedia.org/wiki/%E4%BE%B5%E5%85%A5%E6%A4%9C%E7%9F%A5%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0]]

-[[不正アクセスを検知する「IDS」と防御する「IPS」:https://www.ntt.com/business/services/network/internet-connect/ocn-business/bocn/knowledge/archive_14.html]]
-[[WAFとIPS/IDSのちがいとは？:https://www.shadan-kun.com/blog/measure/1390/]]
-[[IDS・IPSとWAFの違いとは？ファイアウォールとの相違点も解説:https://it-trend.jp/ids-ips/article/difference]]

       

Site admin: anonymous

PukiWiki 1.5.1 © 2001-2016 PukiWiki Development Team. Powered by PHP 5.6.99-hhvm. HTML convert time: 0.003 sec.