Download presentation
Presentation is loading. Please wait.
1
下藤 弘丞 SecureWeblogの構築
2
1.はじめに Weblogとは電子掲示板と同じくサーバのデータにアクセスするためのウェブアプリケーションである。
近年ウェブアプリケーションのセキュリティ保持が叫ばれている。 そこでこの研究ではPerlを用いて実際にWeblogを作成し、どのようにすればセキュアなウェブアプリケーションが構築できるのかを考察する。
3
2.開発環境 OS : Vine Linux 4.2 Server : Apache2 Database : PostgreSQL
Programing Language : Perl 5.8.6
4
3.作成したファイル blog.cgi : HTMLからのポストデータの受け取り、条件分岐、データベースとの対話を担う。
setup.cgi : 初期設定用CGIである。パスワードファイルの作成、データベーステーブルの作成、必要なディレクトリの作成などを行う。BLOG構築の最初の一度のみの起動を想定している。よってセキュリティは意識していない。 HTML Template : HTMLのデザイン担う。
5
4.表示に関する3つのモード Main View Categories View Perma Link View
6
5.Main View 記事投稿順に順次表示する。
7
6.Perma Link View 記事個別の表示、コメント表示と投稿もここで行う。
TrackBack受け取りにもPermaLinkが必要となる。
8
7.セキュリティについて ウェブアプリケーションのセキュリティホールはFirewall,IDS(不正侵入検知システム)等では防げない。
DatabaseやOSの機能を使うと危険因子は増える。
9
8.攻撃の種類の一例 XSS(クロスサイトスクリプティング) Path Traversal(パス乗り越え)
SQL Injection(SQLインジェクション) OS Command Injection セッションハイジャック
10
9.攻撃の対処方 XSS,Path Traversal, SQL Injection, OS Command Injection : 入力値チェック、サニタイジング(攻撃によって無害化する文字は異なる) セッションハイジャック : セッションIDの強度を高める。https通信を使う。
11
10.おわりに 使い勝手がよく、セキュアなウェブアプリケーションが構築できたと考えている。
しかし、セキュリティ向上に終わりはないので、さらに研究していきたい。 目下の課題としてはスパムへの対策、自分が一定期間使ってみておかしいところはないかのテストが挙げられる。
Similar presentations
© 2024 slidesplayer.net Inc.
All rights reserved.