ここの情報は古いです。ご理解頂いた上でお取り扱いください。

Changes between Version 1 and Version 2 of Security


Ignore:
Timestamp:
Jan 31, 2007, 10:16:03 PM (15 years ago)
Author:
sakai
Comment:

--

Legend:

Unmodified
Added
Removed
Modified
  • Security

    v1 v2  
    11= OpenPNE2.4.0でのセキュリティ対策 =
    22
    3 *XSS(Cross Site Scripting)
    4     DB、リクエストから取得した値を表示する際にはHTML生成前に
    5     デフォルトで全てサニタイズされるようにしており、
    6     管理画面から管理者が入力した項目など信頼できる一部の値のみを
    7     そのまま表示するようにしている
    8 
    9 *SQL Injection
    10     変数が含まれるSQL文はプレースホルダを使用し
    11     エスケープ処理を行っている
    12 
    13 *CSRF(Cross Site Request Forgeries)
    14     データ登録・編集などdoアクションのすべてのリクエストに
    15     セッションIDに基づいたハッシュ値(セッションIDそのものではない)
    16     を含めて、これが一致しない場合にはアクションを行わない
    17 
    18 *Null Byte Attack
    19     リクエストバリデーションの際に、事前のフィルタリングで
    20     全変数デフォルトでヌルバイトを削除している
    21 
    22 *Directory Traversal
    23     ローカルファイルをオープンする場合には
    24     /などを含む文字列は弾いている
    25 
    26 *HTTP Response Splitting
    27     リダイレクトのためのLocationヘッダなど、
    28     スクリプト側で動的にHTTP Response Headerを生成する場合には
    29     不要なCRおよびLFを除去している
    30 
    31 *Session Hijacking
    32     携帯版を除きセッションIDの取得はCookieからのみに制限している
    33     また、セッションの有効期限をpc/ktai/adminそれぞれに設定できる
    34    
    35     携帯版については、GET(/POST)でセッションIDを引き回すため
    36     URLにセッションIDが含まれてしまうが、Refererで外部に漏れないよう
    37     外部サイトへのリンクを一切生成しないようにしている
    38     また、デフォルトでセッションの有効期限を短く設定している
    39 
    40 *Session Fixation
    41     pc/ktai/admin ともにログイン時に、その時点のセッションIDを無効にして
    42     新しいセッションIDを生成している
    43 
    44 *File Upload Attack
    45     アップロードファイルは画像のみに限定し、
    46     アップロード時に必ずGDに通し画像として変換できたもののみを
    47     正当な画像として受け入れている
    48 
    49 *OS Command Injection
    50     外部コマンドを実行する関数は一箇所だけで、
    51     画像変換にImageMagickを使用する設定にしていた場合にのみ
    52     passthru()関数を使用するが、
    53     引数として渡すコマンドは検証済みのもので
    54     リクエストを直接入れるようなことはしていない
    55 
    56 *Parameter Manipulation
    57     入力バリデータに通し検証済みの値を使用している
    58 
    59 *Brute force attack
    60     招待状発行時及び新規登録時に画像認証を挟むようにしている
    61 
     3[wiki:Contribute セキュリティ対策はこちらに移動しました]