[Codeigniter-users] セミナー案

Zurück zum Archiv-Index

Takeshi Amano p****@takes*****
2008年 3月 11日 (火) 15:30:06 JST


天野です。

>  IPAで「安全なウェブサイトの作り方 改訂第3版」が公開されていますが
>  http://www.ipa.go.jp/security/vuln/websecurity.html

>木下さん
こちらきれいにまとまっていていいですね。

ここの「ウェブアプリケーションのセキュリティ実装」からポイントを
抜粋すると
1. SQLインジェクション
2. OSコマンド・インジェクション
3. パス名パラメータの未チェック/ディレクトリ・トラバーサル
4. セッション管理の不備
5. クロスサイトスクリプティング
6. CSRF (クロスサイト・リクエスト・フォージェリ)
7. HTTP ヘッダインジェクション
8. メール第3者中継
9. アクセス制御や認可制御の欠落

CIのセキュリティ対策として天野が思いつくのは以下の通り
1. SQLインジェクション
モデルを使ってパラメーター渡しにすればok

5. クロスサイトスクリプティング
config.php内の
$config['global_xss_filtering'] = TRUE;;
にすることでok

他にも何かCIでカバーできることってありますでしょうか?
その他のポイントはwebアプリの値の渡し方などフレームワークで
カバーしうるエリア以外の様にも思えますが、それも含めて全ての
ポイントに関してきちんと説明してあるといいと思います。

wikiにまとめましょうかね?

Takeshi Amano

There are two ways to live your life. One is as though nothing is a
miracle. The other is as though everything is a miracle - Albert
Einstein




Codeigniter-users メーリングリストの案内
Zurück zum Archiv-Index