Web開発するときに気になること

入力値の妥当性チェック
 サーバで必ず行う
 クライアントでの入力値チェックはユーザビリティの向上させる必要がある場合に実施する。
HTML出力時には特殊記号をエスケープ処理する(クロスサイトスクリプティングを防ぐ為にサニタイジング)
 Strutsのbeen:write または JSTLのc:out を使用すること。このタグはHTMLの特殊記号( < > , " ‘ & )を変換する機能を持つ。
SQL出力時にはバインドメカニズムを利用してSQLインジェクションを防ぐ
 プレースホルダとして「?」記号を使用しSQL文をあらかじめコンパイルしておくこと。
外部コマンド呼び出し時の妥当性チェック
http://www.atmarkit.co.jp/fsecurity/rensai/webhole02/webhole02.html
ファイル名指定時の妥当性チェック
 任意の場所にファイルをアップロードされる事がないように、ファイル名に使用される記号をサニタイジングする。
できれば通信は全てSSLで保護する。
セキュアモードCookieの利用 WebLogicの設定の場合、
 weblogic.xml デプロイメント記述子の、
 cookie-secureをtrueに設定する。
 クッキーを HTTPS 接続でのみ返信するようブラウザに指示する。これにより、クッキー ID が保護され、HTTPS を使用する Web サイトでのみ使用されるようになる。この機能を有効にすると、HTTP でのセッション クッキーは機能しなくなる。
安全なセッションIDの使用
 セッションID用のcookieの生成・維持はWebLogicサーバによって自動的に行われます。
アクセス権限のチェック
 チェックしましょう。
セッションタイムアウトの設定
 セッションは一定時間が過ぎると切断されるように設定する。長期(例えば1日以上)のセッション保持は行わない。
Cookieの有効ドメイン範囲制限
 Cookieの有効度メイン範囲は必ず限定しCookieの漏洩を防ぐ。
Cookieのハードディスクへの保存禁止。有効期限を指定しない事
 Weblogicではデフォルトでユーザがブラウザを終了すると期限が切れるようにクッキーが設定されているので問題ありません。
認証後に、新たなセッションIDを発行する事。ログインページではセッションIDを発行しない
セッションIDをGETメソッドで送らない
 CookieによるセッションIDの管理を行う。
脆弱なパスワードの拒否
ログイン、リトライ可能回数の制限
 本案件ではユーザ名、パスワードでのログインは行わない。
平文パスワード保存の禁止
 DBに保存するパスワードはハッシュ化しましょう。
秘密情報は画面へ表示しない
 秘密情報は画面へ表示しない事。表示しなければならない場合、マスクして表示するなどの対策を行う。
本番環境にソースファイルやバックアップファイルなど不要なファイルを置かない。
 アタックの足がかりになることがあります。
管理機能へのアクセス制限、原則、インターネット経由でのアクセスを禁止する
Webアプリケーションアセスメントの実施
 「セキュリティアセスメントサービス」等を受けるようにする。
Webシステムペネストレーションテストの実施
 コンピュータやネットワークのセキュリティ上の弱点を発見するテスト手法の一つで、システムを実際に攻撃して侵入を試みる手法。実際にWebサーバへアクセスしアタックを行いセキュリティホールが存在しないか確認する。

3 Replies to “Web開発するときに気になること

  1. SECRET: 0
    PASS: 07af5b8e07a195e1e93130d7617e5041
    セキュリティー強化のメールフォームを検索で探していたら、このサイトにたどり着きました。
    まったりさんが開発されているプログラムは、どこかで使用できるのでしょうか?もし、どこかのサイトで有料配布されている、もしくは、会社として開発依頼を受けられているのであれば、教えていただけますか?よろしくお願いします。

  2. SECRET: 0
    PASS: eb0376f6315c112cd72971978233d401
    こんにちは。まったりです。
    私が所属している会社で開発依頼をお受けしておりますよ。
    株式会社あんどシステム
    電話:06-6268-6862
    メール:and@and-s.com
    担当:金田までお気軽にご連絡ください!
    (Webシステム・Webデザイン)
      http://www.andsys.jp
    (システム開発)
      http://www.and-s.com

  3. SECRET: 0
    PASS: 07af5b8e07a195e1e93130d7617e5041
    お返事ありがとうございました。
    早速、HPの方拝見させてもらいます。
    今後とも、よろしくお願いします。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です