ビデオ: SEC特別セミナー Engineering a Safer and More Secure World 2024
これらのコンポーネントは、個別および集合的に、セキュリティ設計または実装上の欠陥を有する可能性があります。存在する欠陥には、以下のものが含まれます:
- 注入攻撃を阻止できません。 JavaScriptインジェクションやSQLインジェクションなどの攻撃は、攻撃者がウェブアプリケーションを誤動作させ、機密に保存された機密データを公開する可能性があります。
- 不完全な認証。 Webサイトで認証を実装できる方法はたくさんありますが、ここではあまりにも多く挙げられています。認証は正しいことが不可欠です。多くのサイトはそうしていません。
- セッション管理に欠陥があります。 Webサーバーは、個々のユーザーを追跡するための論理的な「セッション」を作成します。多くのWebサイトのセッション管理メカニズムは悪用される可能性があります。特に、攻撃者が別のユーザーのセッションを引き継ぐ可能性があります。
- クロスサイトスクリプティング攻撃をブロックできません。 入力データの検査と浄化に失敗したWebサイト。その結果、攻撃者は悪意のあるコンテンツをユーザーに送信する攻撃を作成することがあります。
- サイト間要求偽造攻撃をブロックできません。適切なセッションおよびセッションコンテキスト管理を使用できないWebサイトは、ユーザーが害を及ぼす可能性のあるWebサイトにコマンドを送信するように誘惑される攻撃に対して脆弱になる可能性があります。 例は、攻撃者が実際にユーザーを
http:// bankのようなURLに誘導するリンクをクリックするようにユーザーを欺くものです。 co.jp / transfer? tohackeraccount:額= 99999 99 999。
直接オブジェクト参照を保護できません。Webサイトは、閲覧または変更を許可されていないユーザーにアクセスしてデータを送信することを騙すことがあります。 - <!これらの脆弱性は、3つの主な方法で緩和することができます: より安全なソフトウェア開発のテクニックに関する開発者トレーニング
動的で静的なアプリケーションの使用スキャニングツール
