脆弱性コラム
「サイト脆弱性をチェックしよう!」
第1回:ウェブアプリケーションに潜む危険
Webアプリケーションには様々な脆弱性が混在するリスクがある。今回は設計時に混在する可能性がある脆弱性について解説する。
|
コーディング時に混在する可能性がある脆弱性を防ぐために正しいWebアプリケーションのコーディングについて解説する。
|
脆弱性の混在を防ぐために、開発の各工程でセキュリティを考慮して作業を行うことでアプリケーションに存在するリスクを低減できる。今回は設計時に実施するセキュリティ対策として、設計レビューについて解説する。
|
今回は開発工程のうちコーディング、テストで実施するセキュリティ対策について解説する。
|
第5回:XSSの脆弱性を検査する方法
クロスサイト・スクリプティング(XSS)はWebアプリケーションでよく発見される脆弱性である。今回はXSSが引き起こす被害例と検査方法、対策例について解説する。
|
第6回:SQLインジェクションの検査方法
SQLインジェクションは情報漏洩が発生した際の原因に挙げられることが多い。SQLインジェクションが発生する仕組みと検査方法、対策例について解説する。
|
ファイル操作・アクセスに関する脆弱性を用いて情報が漏洩することがある。今回は、ディレクトリトラバーサルと強制ブラウジングについて検査方法と対策例を解説する。
|
第8回:セッション管理における脆弱性
セッション管理が不適切であれば、ユーザーに成りすましてアプリケーションの操作が可能となる。今回はセッション管理にある脆弱性について検査方法と対策例を解説する。
|
手動による脆弱性検査は高いスキルと手間がかかる。高いスキルが不要で手間もかからない自動検査ツールであるAppScanを使用した検査手法について解説する。
|
第10回:静的診断で脆弱性を見つけよう
動的診断は開発工程の最後に実施されるため、発見された脆弱性を修正することができないことがある。静的診断ではコードを書き上げた時点で脆弱性を発見できる。今回は静的診断の方法、特徴について解説する。
|
第11回:パスワードの暗号化保存について確認しよう
Webサイトが攻撃を受け、利用者のログインパスワードが漏洩したとの事例が度々報道されている。今回は保険的な対策としてのログインパスワードの暗号化保存について、適切に実施する上で確認すべきポイントを解説する。
|
前回のコラムでは保険的な対策としての安全なパスワード保存方法の要件と適切な変換方式について確認した。今回は適切な保存方法の具体的な内容について解説する。
|
第13回:モバイルアプリケーションに対する脅威
スマートフォン所有者のほとんどがスマートフォンに存在するリスクをあまり考慮しないままアプリケーションをインストールし、利用している。今回はモバイルアプリケーションに対する脅威を解説する。
|
CSRF(クロスサイト・リクエストフォージェリ)はWebアプリケーション全体に影響を与えるため、重要処理を行うWebアプリケーションにおいて対策は必須だ。今回はCSRFの仕組みと対策について解説する。
|
Owasp Top10:2021から新しく追加されたSSRF(サーバサイド・リクエストフォージェリ)という脆弱性が注目されている。今回はSSRFの仕組みと対策を解説する。
|
第16回:XXE(XML外部実体参照)攻撃
XML外部実体参照攻撃は、XMLの仕様を悪用して外部ファイルを読み込ませる手法である。前回解説したSSRF攻撃に応用されることもある仕組みと対策を解説する。
※サービスサイトブログへ遷移します。 |
第17回:安全でないデシリアライズ
実行中のデータやオブジェクトをバイト列に変換して取り扱いを容易にするシリアライズ/デシリアライズ。これに潜む脆弱性について解説する。
※サービスサイトブログへ遷移します。 |
ユーザが本来アクセス権を持たない機能やデータの閲覧、操作ができてしまう権限昇格。意図して予防しない限り、作りこんでしまう可能性のある脆弱性について仕組みと対策を解説する。
※サービスサイトブログへ遷移します。 |
近年Ajaxを代表とするWebの発達により、同一オリジンポリシーを回避した実装が求められるようになった。同一オリジンポリシーとCORS(Cross-Origin Resource Sharing)について解説する。
※サービスサイトブログへ遷移します。 |
クロスサイト・スクリプティング対策の伝家の宝刀と呼ばれるCSP(Content Security Policy)だが設定には注意を要する。CSPの設定方法と注意点について解説する。
※サービスサイトブログへ遷移します。 |
※第16回以降は、サービスサイトブログへ遷移します
番外編
脆弱性診断サービス/脆弱性診断ツールのサポートの双方を提供しているテクマトリックスから、外部診断を依頼する、または内部診断を実施する際のフローをご案内いたします。
※サービスサイトブログへ遷移します。 |
脆弱性診断サービス/脆弱性診断ツールのサポートの双方を提供しているテクマトリックスから、外部診断を依頼する、または内部診断を実施する際のフローをご案内いたします。
※サービスサイトブログへ遷移します。 |
※サービスサイトブログへ遷移します
本文中に記載されている会社名および製品名はそれぞれ各社の商標、または登録商標です。
PICK UP
イベント・セミナー
AppScanに
関するお問い合わせ
テクマトリックス株式会社
東京本社ネットワークセキュリティ事業部
第3営業部
セキュリティプロダクツ営業2課03-4405-7814
- メールでのお問い合わせ
- watchfire@techmatrix.co.jp