webアプリケーション脆弱性について

懂你不懂的

セキュリティの専門家ではないけど、外部に公開されたWEBサイトを運営する方に対して、下記のwebアプリ攻撃手法を認識しないといけないと思います。

脆弱性：CSRF
影響：データ登録または更新における利用者が意図しないデータ更新
対策：トークンを利用する

脆弱性：認可の不備
影響：該当のアカウント権限で組み合わせることのできないデータの紐付けができる
対策：データ紐付け時に該当のアカウント権限を検証する

脆弱性：SQLインジェクション
影響：任意のSQLを実行できてしまい、データベース内の非公開情報が閲覧される
対策：パラメータの検証またはプレースホルダを用いた実装にする

脆弱性：ディレクトリトラバーサル
影響：サーバ上のファイルを参照されてしまう
対策：ファイル名を利用者が送信するリクエストパラメーターから取得しない
　　　ディレクトリ名が含まれないようにパラメータの検証をする

脆弱性：ヘッダインジェクション
影響：スクリプトを付与されたリクエストを実行できる
対策：外部パラメータを入力を使用する場合、入力値のチェックを行う

など。。

参考サイト
IPAセキュア・プログラミング講座
http://www.ipa.go.jp/security/aw ... grammingv2/web.html
http://www.atmarkit.co.jp/ait/articles/0909/01/news158.html