人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

今、PHP/PostgreSQLで会員サイトを構築していて、もうすぐテストに入る段階です。
セキュリティチェックもどこかでまとめてやってしまいたいのですが、、、
どこか良いチェックサイトをご存じでしたら教えてください。

#Apache&MOD Security入れています。




●質問者: dboys
●カテゴリ:インターネット ウェブ制作
✍キーワード:Apache mod PHP postgreSQL サイト
○ 状態 :終了
└ 回答数 : 7/7件

▽最新の回答へ

1 ● pahoo
●23ポイント
Checklist for Securing PHP Configuration
PHP設定のチェックリスト。
安全なウェブサイトの作り方(IPA)
Webアプリの一般的なセキュリティ対策の要点解説。
セキュア・プログラミング講座(IPA)
上記より詳しい。

あとは、第三者評価を入れるといいと思います。

◎質問者からの返答

ありがとうございます。

使い勝手向上とセキュリティ対策は、トレードオフだと痛感します。

セキュリティ対策がユーザーの安心感を生み、結果ユーザーの使い勝手が良いことになる、、、

という流れができてくればよいのですが。。。まあ、がんばります。


2 ● kn1967a
●23ポイント

http://www.ipa.go.jp/security/ciadr/checksheet.html


3 ● asahiru
●22ポイント

PHPサイバーテロの技法―攻撃と防御の実際
PHPサイバーテロの技法―攻撃と防御の実際
ソシム 2005-11
売り上げランキング : 15664

おすすめ平均 star
starPHPでセキュリティ対策するなら、NO1の良書
starすべてのPHPプログラマに!
starすばらしい

Amazonで詳しく見る
by G-Tools

このほんを読んで、とりあえずチェックリストを作成しましょう。


4 ● ymlab
●22ポイント

私も、id:pahoo さんの推薦する、IPAのサイトを推薦します。

一回みておくとよいでしょう。

また、id:asahiru さんのサイバーテロの技法は本当に役に立つと思います。

何度も熟読しました。

その中に書いてあることですが、

MaxPatrol でチェックするとよいかもしれません。

https://www.evestigate.com/security%20scanner%20download.htm

700ドルくらいするみたいですが、URLを入力すると、

テストを自動的にばーっとやってくれて、

ここが、クロスサイトスクリプティング脆弱性があるよ。とか、

ここで、こんな攻撃をさせる可能性があるとかを教えてくれます。

でも、700ドルなんて出せないよという人のために、評価版もダウンロード可能なので、

私はそっちを使っていました。どんな脆弱性があるかは教えてくれますが、

どこそこにあるとかそういうことは教えてくれません。

それでも、重宝しました。

あと、これはセキュリティではないのですが、負荷テストをするために、

Jmeterを使っていました。

http://www.stackasterisk.jp/tech/engineer/jmeter01_01.jsp

一台のマシンで、複数台からのDDOS攻撃のまねごととかできます。

「一度に10台から同時にアクセスしたことにする」とかが簡単にできます。

ログがものすごく汚れますが、試してもよいかと思います。

あと、これもセキュリティとは関係ないですが、

ハイパフォーマンスWebサイト ―高速サイトを実現する14のルール

ハイパフォーマンスWebサイト ―高速サイトを実現する14のルール

  • 作者: Steve Souders スティーブ サウダーズ
  • 出版社/メーカー: オライリージャパン
  • メディア: 大型本

これもよかったです。真ん中らへんは、随分とすっ飛ばしましたが、

Webアクセスの作法などがよくわかります。

ただ、この本の通りにすると、ブラウザによってはまれに副作用がありますので、ご注意ください[javascriptは最後におくとか。]。


5 ● esecua
●10ポイント

PHPのセキュリティの専門家としても有名な大垣さんの連載記事

http://gihyo.jp/dev/serial/01/php-security

まぁ、セキュリティ対策は様々在りますが、最低限でも

SQLインジェクション

XSS

だけはしっかりチェックしましょう。

もちろん、OSコマンドやincludeやrequireなどにも注意する必要がありますが、まぁ、include($_GET['user']) みたいな事はしないにせよ、SQLInjetionは未だにありますので、要注意です。

特に文字エンコードの違いを利用したSQLインジェクションも多発していますので、単にmysql_real_es...でくくればいいというものではなさそうです。

いずれにせよ、大企業のECサイトですらハッキングされている現状なので、きちっとコードを確認し万全を尽くし、又万が一情報が漏洩しても大丈夫なように暗号化やハッシュ化はしておくのがベストでしょう。(転ばぬ先の杖)


1-5件表示/7件
4.前の5件|次5件6.
関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ