Changes between Version 1 and Version 2 of Security

Show
Ignore:
Author:
sakai (IP: 61.125.39.214)
Timestamp:
01/31/07 22:16:03 (10 years ago)
Comment:

--

Legend:

Unmodified
Added
Removed
Modified
  • Security

    v1 v2  
    11= OpenPNE2.4.0でのセキュリティ対策 = 
    22 
    3 *XSS(Cross Site Scripting) 
    4     DB、リクエストから取得した値を表示する際にはHTML生成前に 
    5     デフォルトで全てサニタイズされるようにしており、 
    6     管理画面から管理者が入力した項目など信頼できる一部の値のみを 
    7     そのまま表示するようにしている 
    8  
    9 *SQL Injection 
    10     変数が含まれるSQL文はプレースホルダを使用し 
    11     エスケープ処理を行っている 
    12  
    13 *CSRF(Cross Site Request Forgeries) 
    14     データ登録・編集などdoアクションのすべてのリクエストに 
    15     セッションIDに基づいたハッシュ値(セッションIDそのものではない) 
    16     を含めて、これが一致しない場合にはアクションを行わない 
    17  
    18 *Null Byte Attack 
    19     リクエストバリデーションの際に、事前のフィルタリングで 
    20     全変数デフォルトでヌルバイトを削除している 
    21  
    22 *Directory Traversal 
    23     ローカルファイルをオープンする場合には 
    24     /などを含む文字列は弾いている 
    25  
    26 *HTTP Response Splitting 
    27     リダイレクトのためのLocationヘッダなど、 
    28     スクリプト側で動的にHTTP Response Headerを生成する場合には 
    29     不要なCRおよびLFを除去している 
    30  
    31 *Session Hijacking 
    32     携帯版を除きセッションIDの取得はCookieからのみに制限している 
    33     また、セッションの有効期限をpc/ktai/adminそれぞれに設定できる 
    34      
    35     携帯版については、GET(/POST)でセッションIDを引き回すため 
    36     URLにセッションIDが含まれてしまうが、Refererで外部に漏れないよう 
    37     外部サイトへのリンクを一切生成しないようにしている 
    38     また、デフォルトでセッションの有効期限を短く設定している 
    39  
    40 *Session Fixation 
    41     pc/ktai/admin ともにログイン時に、その時点のセッションIDを無効にして 
    42     新しいセッションIDを生成している 
    43  
    44 *File Upload Attack 
    45     アップロードファイルは画像のみに限定し、 
    46     アップロード時に必ずGDに通し画像として変換できたもののみを 
    47     正当な画像として受け入れている 
    48  
    49 *OS Command Injection 
    50     外部コマンドを実行する関数は一箇所だけで、 
    51     画像変換にImageMagickを使用する設定にしていた場合にのみ 
    52     passthru()関数を使用するが、 
    53     引数として渡すコマンドは検証済みのもので 
    54     リクエストを直接入れるようなことはしていない 
    55  
    56 *Parameter Manipulation 
    57     入力バリデータに通し検証済みの値を使用している 
    58  
    59 *Brute force attack 
    60     招待状発行時及び新規登録時に画像認証を挟むようにしている 
    61  
     3[wiki:Contribute セキュリティ対策はこちらに移動しました]