下藤 弘丞 SecureWeblogの構築.

Slides:



Advertisements
Similar presentations
Internet Explorer 障害解析 最初の一歩 - IE のトラブルを理解する -. 概要 Internet Explorer を使用中に発生するトラブルの 種類と、調査のための切り分け方法を紹介します! (以降は IE と略称で表記します) よくあるお問い合わせ Web ページの表示が白画面のまま完了しない.
Advertisements

情報セキュリティ 第11回:2005年6月24日(金)   . 2 本日学ぶこと サーバサイドセキュリティ  Webサーバのセキュリティ 暗号化通信(SSL/TLS),ユーザ認証,アクセス 制御  不正な入力への対応 SQL インジェクション クロスサイトスクリプティング バッファオーバーラン.
情報セキュリティ 第11回:2006年6月29日(金)   . 2 本日学ぶこと サーバサイドセキュリティ  Webサーバのセキュリティ ユーザ認証,アクセス制御  不正な入力への対応 SQL インジェクション クロスサイトスクリプティング バッファオーバーラン  ファイアウォール 
「図書管理」のための Webアプリケーション開発 -Apache/Tomcat/MySQL/Java on Windows XP-
コンピュータ基礎(9) 10章 ファイルとデータベース.
IIS 4.0で開発をするコツ Webアプリケーション構築.
ファイルキャッシュを考慮したディスク監視のオフロード
セキュリティ機構のオフロードを考慮した仮想マシンへの動的メモリ割当
ハルビン絵葉書コレクションシステムの再構築と機能追加 -サーバ側:PHPとMySQLを用いて
サイバーセキュリティ演習 ― Webセキュリティ基礎&実践―
Flashプレイヤーを使った動画配信 情報工学科 宮本 崇也.
Ad / Press Release Plan (Draft)
受動的攻撃について Eiji James Yoshida penetration technique research site
WordPressの基礎.
CakePHPを業務に導入する Shin x blog 新原 雅司.
応用情報処理V(2002) もっとプログラミングをしたい人のために
侵入検知システムの構築と ログの可読性向上
システム構成とアプリケーション設定に基づく セキュリティ・ポリシ自動生成フレームワーク
電子社会設計論 第11回 Electronic social design theory
ケータイキット for Smarty のご紹介
Digital Network And Communication
「コンピュータと情報システム」 07章 インターネットとセキュリティ
情報リテラシー 情報システム学科の
Webアプリケーション.
Vulnerability of Cross-Site Scripting
ファイルシステムキャッシュを 考慮した仮想マシン監視機構
メモリ暗号化による Android端末の盗難対策
OSが乗っ取られた場合にも機能するファイルアクセス制御システム
Splunk(スプランク) システム管理業務でこんなお悩み・・・ありませんか? そんなお客様の課題を・・・
インターネット社会の脅威 (インターネット社会のセキュリティ) 開始 再生時間:5分20秒.
サーバ管理と運営 不正アクセスに対するセキュリティ構築
RDBMSについて 2年7組  小鹿 慎太郎.
Introducing “MobaSiF” (Mobile Simple Framework)
Webを利用した授業支援システムの開発 北海道工業大学 電気電子工学科 H 渋谷 俊彦.
Day3 Day4 Day3 Day4.
IPv6アドレスによる RFIDシステム利用方式
第8章 Web技術とセキュリティ   岡本 好未.
2004年度 サマースクール in 稚内 JavaによるWebアプリケーション入門
2003年度 データベース論 安藤 友晴.
「情報セキュリティ論」 5-1 コンピュータ犯罪
第2回 SQL インジェクション その攻撃と対処 NECラーニング 山崎 明子.
情報基盤センター 分散システムセキュリティ支援掛 2000年4月18日
セキュリティ(5) 05A2013 大川内 斉.
情報セキュリティ - IT時代の危機管理入門 -
情報化が社会に及ぼす影響 情報セキュリティの確保
外部共有サーバーによる認証設定と そのセキュリティ問題に関する基礎的考察 施設設計工学研究室 馬場 健.
卒業論文発表 「Web アクセスに伴う脅威の特徴分析」
仮想計算機を用いて OSを介さずに行う安全な ファイルアクセス制御
セキュリティ(6) 05A2013 大川内 斉.
第15章 TFTP:トリビアル・ファイル転送プロトコル
Linux リテラシ 2006 第5回 SSH と SCP CIS RAT.
Webセキュリティ 情報工学専攻 1年 赤木里騎 P226~241.
オープンソース開発支援のための リビジョン情報と電子メールの検索システム
一人暮らしの男性のための料理検索システムの設計
A18 スパムサーバの調査 ~ボットを見抜けるか?~
ファイルのアップロード HTMLファイルをWebサーバにアップロード 名商大のWebサーバ(opinion.nucba.ac.jp)
データベース設計 第7回 実用データベースの運用例 クライアント=サーバシステム(1)
応用情報処理V(2001) もっとプログラミングをしたい人のために
JSFによるWebアプリケーション開発 第3回
Ajilius は、オープン ソースの手頃な価格と エンタープライズ レベルの機能との間にスイート スポットを発見
楽天広場が仕掛ける webサービスの世界 2003/6/13 楽天株式会社 田中良和.
ICMPを用いた侵入検知システムの負荷軽減
仮想環境を用いた 侵入検知システムの安全な構成法
IDSとFirewallの連携によるネットワーク構築
セカンダリ データベースを Linux に移行して 9 か月未満で投資を回収
Webアプリケーションと JSPの基本 ソフトウェア特論 第4回.
VMリダイレクト攻撃を防ぐための 安全なリモート管理機構
CO-Client Opeartion 1.1 利用履歴データベースの設計 (スキーマ バージョン 対応)
第2回 Webサーバ.
サーバーレス キャンペーンインフラご提案 特徴 料金 初期費用 0円 月額 120,000円 初期費用 0円 月額 380,000円
Presentation transcript:

下藤 弘丞 SecureWeblogの構築

1.はじめに Weblogとは電子掲示板と同じくサーバのデータにアクセスするためのウェブアプリケーションである。 近年ウェブアプリケーションのセキュリティ保持が叫ばれている。 そこでこの研究ではPerlを用いて実際にWeblogを作成し、どのようにすればセキュアなウェブアプリケーションが構築できるのかを考察する。

2.開発環境 OS : Vine Linux 4.2 Server : Apache2 Database : PostgreSQL Programing Language : Perl 5.8.6

3.作成したファイル blog.cgi : HTMLからのポストデータの受け取り、条件分岐、データベースとの対話を担う。 setup.cgi : 初期設定用CGIである。パスワードファイルの作成、データベーステーブルの作成、必要なディレクトリの作成などを行う。BLOG構築の最初の一度のみの起動を想定している。よってセキュリティは意識していない。 HTML Template : HTMLのデザイン担う。

4.表示に関する3つのモード Main View Categories View Perma Link View

5.Main View 記事投稿順に順次表示する。

6.Perma Link View 記事個別の表示、コメント表示と投稿もここで行う。 TrackBack受け取りにもPermaLinkが必要となる。

7.セキュリティについて ウェブアプリケーションのセキュリティホールはFirewall,IDS(不正侵入検知システム)等では防げない。 DatabaseやOSの機能を使うと危険因子は増える。

8.攻撃の種類の一例 XSS(クロスサイトスクリプティング) Path Traversal(パス乗り越え) SQL Injection(SQLインジェクション) OS Command Injection セッションハイジャック

9.攻撃の対処方 XSS,Path Traversal, SQL Injection, OS Command Injection : 入力値チェック、サニタイジング(攻撃によって無害化する文字は異なる) セッションハイジャック : セッションIDの強度を高める。https通信を使う。

10.おわりに 使い勝手がよく、セキュアなウェブアプリケーションが構築できたと考えている。 しかし、セキュリティ向上に終わりはないので、さらに研究していきたい。 目下の課題としてはスパムへの対策、自分が一定期間使ってみておかしいところはないかのテストが挙げられる。