第22章Webサイトのセキュリティ要件分析とセキュリティ保護プロジェクト
Webサイトのセキュリティの脅威と需要の分析
-
ウェブサイトのセキュリティの概念
-
ウェブサイトは、統合情報サービスプラットフォームのB / S技術アーキテクチャに基づいており、ウェブサイト情報とビジネス背景の外部インターフェイスサービスのメインリフトです。
-
ウェブサイトのセキュリティとは、主にウェブサイトの機密性、完全性、可用性、および制御性を指します
-
-
ウェブサイトのセキュリティ分析
- 不正アクセス
- Webページの改ざん
- データ漏えい:ユーザーの機密情報
- 悪意のあるコード:Webトロイの木馬
- 偽のウェブサイト
- サービス拒否
- ウェブサイトの背景管理のセキュリティの脅威
-
Webサイトのセキュリティ要件
- 含まれるもの:ネットワーク環境、ネットワーク通信、オペレーティングシステム、データベース、アプリケーションサーバー、Webサービスソフトウェア、Webアプリケーション、データ、およびその他のセキュリティ脅威保護
Apacheのセキュリティ分析と拡張
Apache Httpdは、ApacheWebと呼ばれるWebサーバーソフトウェアの構築に一般的に使用されます。
- Apacheのインストールと構成
- httpd.conf:
- HTTPDが起動したときpacheメイン設定ファイルhttpd.confが最初に読み込まれます。
- このファイルは、Apacheサーバーの一般的な属性、ポート、およびエグゼキュータIDを設定します
- conf / srm.conf:データ構成ファイル
- conf / access.conf:基本的なファイル制御を担当します
- conf / mime.conf:Apacheが認識できるMIME形式を設定します
- httpd.conf:
- Apacheセキュリティ分析
- 直面している脅威:
- ApacheWebソフトウェアプログラムの脅威
- Apache Webソフトウェア構成の脅威:リソースの場所の予測
- Apache Webセキュリティメカニズムへの脅威:パスワードブラスト
- Apache Webアプリケーションへの脅威:SQLインジェクション
- ApacheWebサービス通信の脅威
- Apache Webサービスコンテンツへの脅威:フィッシング
- ApacheWebサーバーのサービス拒否の脅威
- 直面している脅威:
- Apacheセキュリティメカニズムの理解と構成
- ApacheWebローカルファイルセキュリティ
- Apache Webモジュール管理メカニズム:モジュラー管理、特定の構成なしで禁止できます
- ApacheWeb認証メカニズム
- 例:/ user / local / apache / htdocs / secretディレクトリへのアクセス制御
- 接続枯渇応答機構
- 解決:
- Apacheタイムアウト(タイムアウト)設定を減らし、MaxClients設定を増やします
- 同じIPからの接続の最大数を制限する
- マルチスレッドのダウンロード保護メカニズム
- 解決:
- ApacheWeb独自のアクセスメカニズム
- Apache Web監査とログ:access.logとerror.log
- ApacheWebサーバーはDoSを防ぎます
- Apacheセキュリティ脆弱性処理方法
- 時間内にApacheWebパッチをインストールします
- Webページを保護するために.htaccessファイルを有効にする
- ApacheWebサービスソフトウェア専用のユーザーとグループを設定します
- ApacheWebソフトウェアのバージョン番号を非表示にする
- ApacheWebディレクトリアクセスのセキュリティ強化
- ディレクトリインデックスファイルの使用を禁止するように設定します
- デフォルトのアクセスを禁止する
- ユーザーの過負荷を禁止する
- ApacheWebファイルのディレクトリ保護
- ベストセキュリティプラクティス:
- ServerRootは、構成ファイル(confサブディレクトリ)、バイナリファイル、およびその他のサーバー構成ファイルを保存します
- DocumentRootは、HTMLファイルや画像などを含むWebサイトのコンテンツを保存します。
- ApacheサービスCGIディレクトリ555の所有者と権限の設定
- Apacheサーバー実行ディレクトリの所有者と権限の設定550
- Apacheサーバーログディレクトリ664の所有者と権限の設定
- ベストセキュリティプラクティス:
- ApacheWebのデフォルトディレクトリまたは不要なファイルを削除します
- Apacheソースコードファイル
- デフォルトのHTMLファイル
- CGIプログラムサンプル
- デフォルトのユーザーファイル
- サードパーティのソフトウェアを使用して、ApacheWebサービスを安全に強化します
- ApacheWebサーバー「セキュリティサンドボックス」の構築
- OpenSSLを使用してApacheWebの安全な通信を強化します
- ApacheWebサーバーのアクセス制御の強化
IISのセキュリティ分析と拡張
-
IISのインストールと構成
-
IISはいくつかのコンポーネントで構成されており、各コンポーネントは対応する機能を担当し、HTTP要求プロセスを共同処理します。
-
HTTPリクエストステップを処理するIIS
- HTTP.sysがクライアントのHTTPリクエストを受信しました
- HTTP.sysはWAS(Windows Process Activation Service)に接続して、構成ライブラリから情報を取得します
- WASは、構成ライブラリapplicationHost.configから構成情報を要求します
- WWWサービスは、アプリケーションプールやサイト構成などの構成情報を受け取ります
- WWWサービスは、これらの構成情報を使用してHTTP.sysをセットアップします
- WASは、要求に応じてアプリケーションプールのワークプロセスを開始します
- ワーカープロセスはリクエストを処理し、HTTP.sysのレスポンスを返します
- 顧客は応答を受け取ります
-
-
IISセキュリティ分析
- 不正アクセス
- ネットワークワーム
- Webページの改ざん
- サービス拒否
- IISソフトウェアの脆弱性
-
IISセキュリティメカニズムのタイプと構成
-
タイプ:IIS認証メカニズム、IISアクセス制御、IISログ監査を含む
-
IIS認証メカニズム
- 匿名認証
- 基本的な検証
- 証明書認証
- デジタル署名認証
- IIS証明書認証
- Windows認定
-
IISアクセス制御
-
アクセス制御手段:リクエストフィルタリング、URL認証制御、IPアドレス制限、ファイル認証
-
アクセス制御プロセス:
-
-
IISログ監査
-
-
IISセキュリティ脆弱性処理方法
- IISパッチを時間内にインストールする
- 動的IP制限を有効にする
- URLScanを有効にする
- IISWebアプリケーションファイアウォールを有効にする
- SSLサービスを有効にする
Webアプリケーションの脆弱性の分析と保護
- OWASPトップ10
- A1-注射の脆弱性
- A2-破損した認証
- A3に敏感なデータ公開の脆弱性
- A4-XML外部エンティティ参照の脆弱性
- A5-アクセス制御の脆弱性の侵害
- A6-セキュリティ構成エラー
- A7-クロスサイトスクリプティングの脆弱性
- A8-安全でないデシリアライズの脆弱性
- A9-既知の脆弱性を持つコンポーネントを使用する
- A10-不十分なロギングとモニタリング
- SQLインジェクションの脆弱性の分析と保護
- アプリケーション入力のセキュリティフィルタリング:特殊文字フィルタリング
- アプリケーションの最小権限を設定する
- シールドアプリケーションのエラーメッセージ:エラーメッセージを非表示にして、エラーの挿入を防ぎます
- オープンソースのWebアプリケーションにセキュリティを適応させる
- XSS脆弱性の分析と保護
- 典型的な攻撃方法:
- HTMLコンテンツの置換
- 埋め込まれたスクリプトコンテンツ
- ページに外部スクリプトの読み込みを強制する
- 典型的な攻撃方法:
- ファイルアップロードの脆弱性の分析と保護
- 保護対策:
- アップロードされたファイルのリモートトリガー実行を回避するために、アップロードディレクトリを実行不可として設定します
- アップロードされたファイルのセキュリティを確認し、悪意のあるファイルのアップロードをブロックします
- 保護対策:
ウェブサイトのセキュリティ保護メカニズムと技術的ソリューション
ウェブサイトコンポーネントのセキュリティ強化
- オペレーティングシステムのセキュリティ強化
- データベースシステムのセキュリティ強化
- Webサーバーソフトウェアのセキュリティ強化
- Webアプリケーションのセキュリティ強化
- Web通信のセキュリティ強化
- ウェブサイトドメインネームサービスのセキュリティ強化
- ウェブサイトの背景管理のセキュリティ強化
Webサイトの攻撃保護とセキュリティ監視
-
ファイアウォール
-
脆弱性スキャン
-
ウェブサイトの改ざん防止
- 実装技術:
- オペレーティングシステムのファイル呼び出しイベントを使用して、Webファイルの整合性の変化を検出します
- 暗号化を使用した一方向性関数の検出
- 実装技術:
-
ネットワークトラフィックのクリーニング
-
ウェブサイトのセキュリティ監視
- Webサイトのセキュリティ侵害の監視
- ウェブサイトぶら下げ馬モニタリング
- ウェブサイトICPレコードモニタリング
- Webサイトコンプライアンスの監視
- ウェブサイトのパフォーマンスの監視
- ウェブサイトのDNSモニタリング
- Webサイト侵入検知