Marisa の変更点
Top/Marisa
- 追加された行はこの色です。
- 削除された行はこの色です。
- Marisa は削除されています。
- Marisa の差分を削除
#author("2022-02-25T17:04:41+09:00;1970-01-01T18:00:00+09:00","","") [[最低限検討すべきデフォルト緩和策 セキュリティ仕様・Webアプリケーション編]] #author("2022-04-19T16:28:11+09:00","","") 脆弱性が発見されたら、アプリケーションコンポーネントにパッチを適用する。 **2-6 アプリケーションは、SQLインジェクションに対して脆弱であってはならない。 [#ia20a2e7] アプリケーションを変更し、SQLインジェクションの脆弱性を削除する。 **2-7 アプリケーションは、コマンドインジェクションから保護する。 [#v7a5861a] 特殊文字入力をエスケープ/サニタイズするようにアプリケーションを変更するか、アプリケーションアーキテクチャに基づいてコマンドインジェクション攻撃から保護するようにシステムを構成する。 **2-8 アプリケーションは、クロスサイトスクリプティング(XSS)脆弱性から保護する。 [#tb9c616c] ユーザー入力が検証されていることを確認し、ユーザー入力をエンコードまたはエスケープして、埋め込みスクリプトコードが実行されないようにする。 独自のエスケープロジックを構築するのではなく、Webテンプレートシステムまたは自動エスケープ機能を提供するWebアプリケーション開発フレームワークを使用して、アプリケーションを開発する。 *3. セッション管理 [#hd4cdab2] **3-1 アプリケーションは、ログオフ時またはブラウザーのクローズ時にセッションID値やCookieを破棄する。 [#ld1546e5] アプリケーションセッションが終了したら、セッションID Cookieを破棄するようにアプリケーションを構成する。 **3-2 アプリケーションはセッションIDを公開しない。 [#cb534c8f] セッションIDを傍受または改ざんから保護するようにTLS、VPN等でアプリケーションを構成する。 **3-3 アプリケーションは、非表示フィールドに機密情報を保存しない。 [#l523caf3] 非表示フィールドに機密情報を保存しないようにアプリケーションを設計および構成する。ユーザーセッション管理にサーバー側セッション管理技術を使用する。 *4. 属性管理 [#x4ce7873] **4-1 アプリケーションには、必要に応じて機密属性を表示する機能が必要。 [#i425d68c] アプリケーションは、データの機密属性(個人情報、機微情報等)を、画面や印刷物に適切に表示する。 *5. 認証・認可 [#f7daf6a6] **5-1 アプリケーションは、ユーザーによる15分間の無効なログオン試行を3回連続して制限する。 [#rbaa8b90] 15分間に3回、もしくは5回ログオンに失敗すると、アカウントロックを強制するようにアプリケーションを構成する。回数はシステムの特性に応じて検討する。 **5-2 アプリケーションに埋め込み認証データを含めることはできない。 [#w32fcf7e] コード、構成ファイル、スクリプト、HTMLファイル、またはASCIIファイルに認証データを埋め込まない。 **5-3 SAMLアサーションでSubjectConfirmation要素を使用する場合、アプリケーションはNotOnOrAfter条件を使用する。 [#t4444c53] SAMLアサーションで<SubjectConfirmation>要素を使用するときに、<NotOnOrAfter>条件を使用するようにアプリケーションを設計および構成する。 **5-4 WS-SecurityまたはSAMLアサーションを使用して、すべてのアプリケーションメッセージで有効期間を検証する。 [#cee629f9] すべてのWS-SecurityトークンプロファイルおよびSAMLアサーションで有効期間が検証されるようにする。 **5-5 SAMLアサーションでConditionsエレメントを使用する場合、アプリケーションはNotBeforeエレメントとNotOnOrAfterエレメントの両方、またはOneTimeUseエレメントを使用する。 [#l786f943] SAMLアサーションで<Conditions>要素を使用するときに、<NotBefore>および<NotOnOrAfter>または<OneTimeUse>の使用を実装するようにアプリケーションを設計および構成する。 **5-6 WS-Securityで保護されたメッセージは、作成および有効期限付きのタイムスタンプを使用する。 [#ef277cfb] WS-Securityメッセージを使用してアプリケーションを設計および構成し、作成および有効期限のタイムスタンプとシーケンス番号を使用する。 **5-7 アプリケーションは、PKIベースの認証を使用する場合、対応する秘密キーへの承認されたアクセスを強制する。 [#l8d2c5c3] アプリケーションまたは関連するアクセス制御メカニズムを構成して、アプリケーション秘密鍵への許可されたアクセスを強制する。 **5-8 アプリケーションは、パスワード/ PINをクリアテキストとして表示しない。 [#jc2dafa7] 入力時にパスワードとPINが難読化され、読み取れないようにアプリケーションを構成する。 難読化されたパスワードをコピーしてクリアテキストとして貼り付けることができないように、アプリケーションを設計する。 **5-9 アプリケーションは、PKIベースの認証を利用する場合、受け入れられたトラストアンカーへの証明書パス(ステータス情報を含む)を構築することにより証明書を検証する。 [#w14d5239] PKIベースの認証を使用する場合、受け入れられたトラストアンカーへの証明書パスを構築するようにアプリケーションを設計する。