徳丸基礎試験勉強まとめ⑫

「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」の8章を自分なりにまとめる
アドバイスや間違い指摘など歓迎です

8章 「Webサイトの安全性を高めるために」

8.1 Webサーバーへの攻撃経路と対策

• OSやWebサーバーなどの基盤ソフトウェアの脆弱性
  • 不正侵入
  • XSS
  • サイトの改竄、情報漏洩、サービス停止、他サーバ攻撃の踏み台
• ルータやファイアウォール、ロードバランサなどのネットワーク機器脆弱性
  • 不正侵入
• 不正ログイン
  • SSHサーバー、FTPサーバーのパスワードに対する辞書攻撃

対策

• 適切なサーバーを選定
  • Iaas, Paas, Saasなどによって、セキュリティ担当が異なる
• 機能提供に不要なソフトは稼働させない
• 脆弱性の対処をタイムリーに行う
• 一般公開する必要のないポートやサービスはアクセス制限する
  • ポートスキャン(Nmapなどのポートスキャナ使用)
  • ソフトウェアのバージョンを非表示にする(ポートスキャナでバージョン情報を表示させない)
• 認証強度を高める
  • SSHではパスワードではなく公開鍵認証のみ使用
  • クラウドサービスの管理者アカウントは担当者毎に割り当て、二段階認証を使用

8.2 成りすまし対策

• DNSに対する攻撃
  • ドメイン名を販売管理するレジストラ(お名前ドットコムなど)を狙った攻撃(DNS設定内容を書き換え、偽サイトに誘導)
  • ARPスプーフィング
    • ARP(Address resolution protocol)の偽応答を返すことでIPアドレスを偽装する
  • フィッシング

対策

• 同一セグメント内に脆弱なサーバーを置かない
  • 脆弱なサーバーはARPスプーフィングなど攻撃対象になる
• TLSの導入
  • 正規のサーバ証明書を導入する(認証局によるドメインの妥当性証明による、なりすまし防止)
    • ドメイン認証証明書
    • 組織認証証明書
    • EV SSL証明書
• 確認しやすいドメインの採用
  • co.jp など属性型JPドメイン名を使う(comドメインより審査が厳しい)

8.3 盗聴・改ざん対策

• 経路
  • 無線LAN
  • ミラーポート
  • プロキシサーバー
  • 偽のDHCPサーバー
  • ARPスプーフィング、DNSキャッシュポイズニング
  • 中間者攻撃

対策

• 入力画面からhttpsにする
• クッキーのセキュア属性
• 画像やCSS、JSなどもhttpsで指定
• iframe, frameを使わない

8.4 マルウェア対策

• Webサーバーがマルウェアに感染しない
  • ウィルス対策ソフト
• Webサーバーを通してマルウェアを公開しない