ホームページ作成におけるプログラム作成やアプリケーションに関するセキュリティ対策
?WEB制作自体のセキュリティ対策として、XSS(クロスサイトスクリプティング)対策やCSRF(クロスサイトリクエストフォージェリ)対策、SQLインジェクション対策をはじめとする各種セキュリティ対応、ホームページの改ざんや攻撃に対応するため、システム・アプリケーション・コンテンツに対しては最新のセキュリティ対策を講じています。
また、必要に応じて、第3者によるセキュリティ監査等にも対応致します。
〇 主なWEB制作に関わるウェブアプリケーションセキュリティについて
クロスサイトスクリプティング(XSS)
標的となるウェブサイトに外部から攻撃用のスクリプトを混入し、被害者のウェブブラウザー上で実行させようとする攻撃手法の一つで、攻撃者が脆弱性のあるフォームなどを通して悪意のあるJavaScriptなどのスクリプトコードを入力し、そのスクリプト内容がそのままHTMLに埋め込まれ、ページを閲覧したコンピュータでスクリプトが実行されてしまうことがあります。
クロスサイトリクエストフォージェリ(CSRFまたはXSRF)
CSRF攻撃とは、ウェブアプリケーションのサーバー側機能を、利用者の意図に反して勝手に実行させる攻撃です。悪意のあるウェブサイト等に用意したコンテンツ上に罠を仕掛けたリンク等を用意し正規のサイトにログインした状態のユーザーを誘導し、そこでリンクを踏ませる、ボタンをクリックさせる等をきっかけとして、ログイン状態で掲示板に意図しない書き込みをさせられたり、オンラインショップで買い物をさせられたりしてしまいます。
SQLインジェクション
SQLインジェクション(英: SQL Injection)とは、アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のことで、この脆弱性を悪用してサーバーで改ざんや任意のコマンドを実行したり、ウィルスやトロイの木馬を設置される恐れがあります。
〇 弊社のウェブアプリケーションセキュリティへの対応
弊社では、IPA(独立行政法人情報処理推進機構)の「安全なウェブサイトの作り方 改訂第6版」(チェックリスト)に基づいて、弊社自身で開発提供するウェブアプリケーション、及び受託制作におけるWEB制作・ウェブアプリケーション開発において以下の項目をチェックし万全を期しています。
SQLインジェクション
OSコマンド・インジェクション
パス名パラメータの未チェック/ディレクトリ・トラバーサル
セッション管理の不備
XSS(クロスサイト・スクリプティング)
CSRF(クロスサイト・リクエスト・フォージェリ)
HTTPヘッダ・インジェクション
メールヘッダ・インジェクション
アクセス制御や認可制御の欠落
back