今、PHP/PostgreSQLで会員サイトを構築していて、もうすぐテストに入る段階です。

セキュリティチェックもどこかでまとめてやってしまいたいのですが、、、
どこか良いチェックサイトをご存じでしたら教えてください。

#Apache&MOD Security入れています。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2009/08/11 18:26:06
  • 終了:2009/08/18 18:30:03

回答(7件)

id:pahoo No.1

pahoo回答回数5960ベストアンサー獲得回数6332009/08/11 19:04:18

ポイント23pt
Checklist for Securing PHP Configuration
PHP設定のチェックリスト。
安全なウェブサイトの作り方(IPA)
Webアプリの一般的なセキュリティ対策の要点解説。
セキュア・プログラミング講座(IPA)
上記より詳しい。

あとは、第三者評価を入れるといいと思います。

id:dboys

ありがとうございます。

使い勝手向上とセキュリティ対策は、トレードオフだと痛感します。

セキュリティ対策がユーザーの安心感を生み、結果ユーザーの使い勝手が良いことになる、、、

という流れができてくればよいのですが。。。まあ、がんばります。

2009/08/11 20:17:01
id:asahiru No.3

asahiru回答回数101ベストアンサー獲得回数02009/08/13 09:41:37

ポイント22pt

PHPサイバーテロの技法―攻撃と防御の実際
PHPサイバーテロの技法―攻撃と防御の実際
ソシム 2005-11
売り上げランキング : 15664

おすすめ平均 star
starPHPでセキュリティ対策するなら、NO1の良書
starすべてのPHPプログラマに!
starすばらしい

Amazonで詳しく見る
by G-Tools

このほんを読んで、とりあえずチェックリストを作成しましょう。

id:ymlab No.4

ymlab回答回数506ベストアンサー獲得回数332009/08/13 18:52:39

ポイント22pt

私も、id:pahoo さんの推薦する、IPAのサイトを推薦します。

一回みておくとよいでしょう。

また、id:asahiru さんのサイバーテロの技法は本当に役に立つと思います。

何度も熟読しました。

その中に書いてあることですが、

MaxPatrol でチェックするとよいかもしれません。

https://www.evestigate.com/security%20scanner%20download.htm

700ドルくらいするみたいですが、URLを入力すると、

テストを自動的にばーっとやってくれて、

ここが、クロスサイトスクリプティング脆弱性があるよ。とか、

ここで、こんな攻撃をさせる可能性があるとかを教えてくれます。

でも、700ドルなんて出せないよという人のために、評価版もダウンロード可能なので、

私はそっちを使っていました。どんな脆弱性があるかは教えてくれますが、

どこそこにあるとかそういうことは教えてくれません。

それでも、重宝しました。

あと、これはセキュリティではないのですが、負荷テストをするために、

Jmeterを使っていました。

http://www.stackasterisk.jp/tech/engineer/jmeter01_01.jsp

一台のマシンで、複数台からのDDOS攻撃のまねごととかできます。

「一度に10台から同時にアクセスしたことにする」とかが簡単にできます。

ログがものすごく汚れますが、試してもよいかと思います。

あと、これもセキュリティとは関係ないですが、

ハイパフォーマンスWebサイト ―高速サイトを実現する14のルール

ハイパフォーマンスWebサイト ―高速サイトを実現する14のルール

  • 作者: Steve Souders スティーブ サウダーズ
  • 出版社/メーカー: オライリージャパン
  • メディア: 大型本

これもよかったです。真ん中らへんは、随分とすっ飛ばしましたが、

Webアクセスの作法などがよくわかります。

ただ、この本の通りにすると、ブラウザによってはまれに副作用がありますので、ご注意ください[javascriptは最後におくとか。]。

id:esecua No.5

esecua回答回数510ベストアンサー獲得回数102009/08/15 13:34:18

ポイント10pt

PHPのセキュリティの専門家としても有名な大垣さんの連載記事

http://gihyo.jp/dev/serial/01/php-security

まぁ、セキュリティ対策は様々在りますが、最低限でも

SQLインジェクション

XSS

だけはしっかりチェックしましょう。

もちろん、OSコマンドやincludeやrequireなどにも注意する必要がありますが、まぁ、include($_GET['user']) みたいな事はしないにせよ、SQLInjetionは未だにありますので、要注意です。

特に文字エンコードの違いを利用したSQLインジェクションも多発していますので、単にmysql_real_es...でくくればいいというものではなさそうです。

いずれにせよ、大企業のECサイトですらハッキングされている現状なので、きちっとコードを確認し万全を尽くし、又万が一情報が漏洩しても大丈夫なように暗号化やハッシュ化はしておくのがベストでしょう。(転ばぬ先の杖)

id:fearie No.6

fearie回答回数8ベストアンサー獲得回数02009/08/16 12:09:31

ポイント10pt

googleのRatProxyはどうでしょうか

http://blog.asial.co.jp/410

id:kaz0419 No.7

kaz0419回答回数61ベストアンサー獲得回数12009/08/16 15:42:28

ポイント10pt

http://www.dit.co.jp/service/check/index.html

開発依頼元からお金がでるんでしたら、ここに頼みましょう。

費用はかかりますが、結構丁寧で報告書も解決策まで記載されており、良いです。

→昔頼んだ際は良かったです。

コメントはまだありません

この質問への反応(ブックマークコメント)

トラックバック

  • 2009年08月17日(月)のニュース firefox3対応のお薦めアドオン16個+Greasemonkey - 敷居の先住民d:id:sikii_j | ^^ |秒刊SUNDAY | もうアプリ要らない!WEB開発に使えるFirefoxのアドオン11個www.yukawanet
「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません