読者です 読者をやめる 読者になる 読者になる

This blog is for my knowledge

徳丸浩のwebセキュリティ教室

「徳丸浩のwebセキュリティ教室」

      【第1章・概要】狙われるWebサイト、セキュリティ確保は経営問題に
         1-1 進化する手口、変わらぬ本質
            Web侵入事件の歴史に学ぶ
         1-2 設計や仕様にも危険が潜む
            脆弱性の本質を理解しよう
      【第2章・攻撃手法】パスワード破りやなりすましの危険、攻撃はもはや防げない
            発注者の意識不足が原因の一端
         2-2 21秒ごとに1文字ずつ盗み出す
         2-3 「パスワード破り」が相次ぐ
            利用者とサイトの両方に問題
         2-4 セキュリティ機能が通用しない
            「XSS」の本当の怖さを理解する
         2-5 “誤認逮捕”に発展する恐れ
            「なりすまし投稿」を防ぐ
         2-6 仮想サーバーのOSを入れ替える
            Web改ざんの恐るべき手口
         2-7 世間を騒がせた「GHOST」脆弱性
            Webサイトも影響を受ける恐れ
         2-8 クラウドサービスが乗っ取られる?
            ハイパーバイザーの脆弱性に注意
      【第3章・対策】セキュリティ対策の主役は発注者。
       費用対効果の高い方法を選択しよう
      3-1 パッチの提供期間に注意
      適用の容易さも考慮すべき
      3-2 切り札「WAF」への関心高まる
      3-3 RFPにセキュリティ要件は必須
      発注者の意識が何よりも重要に
      3-4 脆弱性未対策はベンダーの重過失
      賠償金2000万円超の衝撃判決
      3-5 パスワードは頻繁に変更すべきか
      定量的評価から見えた意外な結果
      3-6 相次ぐパスワード漏洩に有効
      「ログインアラート」の導入を
      3-7 クッキーの「属性」に落とし穴
      誤った使い方が危険を招く
      3-8 いまだに存在する「怖いクッキー」
      悪用される前に改めて確認を
      3-9 コストを抑えて安全性を向上
      費用対効果が高い対策の導入を
      検査対象の「絞り込み」が重要
      3-11 「安全なサイトの作り方」が改訂
      3-12 プロキシー経由で情報漏洩の恐れ
      適切なキャッシュ制御が不可欠
      3-13 書籍のサンプルコードに脆弱性
       周りの若手に注意を促そう
      3-14 急増するネットバンキング不正送金

 

赤いほうの徳丸本ですね。

最初のSQLインジェクションがとても読みやすくわかりやすい。

SQLの入門書にSQLインジェクションやセキュリティ対策の章がないのは共感する。唯一あるのが、CTF本(リンゴ・ハリネズミ本)くらい、ブラインドインジェクションの説明がある本を探しているけど見つからない。

高校の商業科の人が、SQLかじったらしいけどセキュリティ対策を一切習ってないあたり仕事で軽く組んだらなかなか怖い。

 

 XSSにはメタ文字が原因となる。&で始まる文字列を文字実体参照

CSRF(クロスサイトリクエストフォージェリ) 2012年のパソコン遠隔操作事件 罠のページにアクセスすると仕組まれたらJavaScriptが作動 一本釣り ACTION属性にはドメイン指定なし

DNSリバイディング DNSを攻撃対象サイトのIPアドレスに変換

2015/1 GHOST Linuxディストリビューションのライブラリglibc パッチ当てて対策

バッファオーバーフロー gethostbyname関数 PHPでも確認 IPv6により深刻度は低い←getaddrinfo関数

「Webアプリの発注側も、情報セキュリティを体系的に理解すべきである」

 

日経コンピュータの連載をまとめたもの

コードが少なく最近のセキュリティの脆弱性を読み物として読んでいくような書籍

 

 受注者「SQLインジェクションあるんだけど^^」

開発者「セキュリティ要件の仕様書に書いてないから知らなーい^^」

裁判官「SQLインジェクション位するでしょ。経産省IPAが注意してるし。裁判で二千万の賠償ね!」

 WAF(web Application Firewall)

webを運営する人はセキュリティになるべくお金をかけたくない、無償のウイルススキャンや「脆弱性を根絶する。」ではなく作りこまないように努力したり、パッチをあてたりすることが重要。脆弱性ごとに生じやすい箇所があり、外部のweb管理ベンダーに頼んだほうが良い。IPAの「安全なサイトの作り方」

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構