1. 件名 各種学生情報システム群の脆弱性診断業務一式 2. 目的独立行政法人国立高等専門学校機構 ( 以下 機構 という ) は 平成 16 年 4 月に独立行政法人化され 全国 51の国立高等専門学校 ( 以下 高専 という ) が一つの法人格にまとまることによるスケールメリットを活かした管理運

Similar documents
WEBシステムのセキュリティ技術

— intra-martで運用する場合のセキュリティの考え方    

PowerPoint プレゼンテーション

NSPIXP JPNAP などの日本国内の IX と直接にネットワーク接続されている 受注者が自社で保有している 24 時間 365 日の運用監視体制を有している (2) サーバ環境については 受注者が自社で保有していること (3) バーチャルホストなど同一 IP アドレス上でサーバ環境を共有する環

PowerPoint プレゼンテーション

別添 2 SQL インジェクション ぜい弱性診断で最低限行うべき項目 1 ( ' ( 検索キー )''-- ( 検索キー ) and 'a'='a ( 検索キー ) and 1=1 は最低限 行うこと ) OS コマンドインジェクション 2 (../../../../../../../bin/sle


SOC Report

内容 ( 演習 1) 脆弱性の原理解説 基礎知識 脆弱性の発見方法 演習 1: 意図しない命令の実行 演習解説 2

Vista IE7 ブラウザの設定手順

Webアプリケーション脆弱性診断 ~WebSiteScan Pro~

Microsoft PowerPoint - Userguide-keitai-douga-v1.1.ppt

ブラウザ Internet Explorer 7 の設定について 第3版

GlobalFlow5 Ver.1.00R04 リリースノート

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

安全なウェブサイトの作り方 7 版 の内容と資料活用例 2

4. ファイルアップロード機能 使い方 ファイルをドラッグ & ドロップ した状態 図 4-1: ファイルアップロード画面 ( 例 ) 1. 送信するファイルをドラッグ & ドロップしてください 送信するファイルの右のエリアをマウスでクリックする事により 従来のエクスプローラー形式のアップロードも可

Microsoft PowerPoint - Userguide-SyoninMail-v1.0.ppt

1. 調達件名 Microsoft 社製 Office 2016 の調達 2. 概要 2.1. 目的独立行政法人日本芸術文化振興会 ( 以下 振興会 という ) では Microsoft 社製 Word Excel PowerPoint 等を日常的に使用し 業務を遂行している 現在振興会が保有してい

Microsoft Word - XOOPS インストールマニュアルv12.doc

ごあいさつ このたびは 日本テレネット株式会社の AUTO 帳票 Custom をお使いいただき まことにありがとう ございます お使いになる前に 本書をよくお読みのうえ 正しくお使いください 本書の読み方 本マニュアルは AUTO 帳票 Custom * を利用して FAX 送信管理を行う方のため

目次 1. エグゼクティブサマリー 総合評価 総評 内在するリスク 情報漏洩 サービス妨害 対策指針 早急の対策 恒久的な対

グループ一覧を並び替える すべてのユーザー グループの並び順を変更する ユーザーの登録

サイボウズ Office「社外からアクセス」

イ -3 ( 法令等へ抵触するおそれが高い分野の法令遵守 ) サービスの態様に応じて 抵触のおそれが高い法令 ( 業法 税法 著作権法等 ) を特に明示して遵守させること イ -4 ( 公序良俗違反行為の禁止 ) 公序良俗に反する行為を禁止すること イ利用規約等 利用規約 / 契約書 イ -5 (

管理サイト操作マニュアル Version.1.1. デジアナコミュニケーションズ株式会社

5-2. 顧客情報をエクスポートする 顧客管理へのアクセス手順 メールディーラーで管理する顧客情報に関する設定を行います 1. 画面右上の 管理設定 をクリックする 2. 管理設定 をクリックする 3. ( タブ ) 顧客管理 をクリックする 2

べきでない悪意のあるSQL 文が攻撃者から入力された場合 データベースで実行される前にSQL 文として処理されないよう無効化する必要がありますが ( 図 1 1) 無効化されずにデータベースで実行された場合 データベースの操作が可能となります ( 図 1 2) 本脆弱性を悪用するとデータベース接続ユ

ニトリ労働組合アンケートシステム 利用者向け操作説明書 第 1.2 版 平成 25 年 10 月 08 日

専門研修プログラム検索システムマニュアル(一般)

掲示板の閲覧 掲示板の閲覧 登録権または参照権のある掲示板グループの掲示版を閲覧することができます 各利用者の権限は 管理者によって設定されます 掲示板を閲覧する 1 掲示板画面を表示し 閲覧する掲示が含まれている掲示板グループ 掲示板の順にクリックします 掲示板画面の表示方法 ポータル画面の画面説

McAfee Application Control ご紹介

版数 更新日 更新理由 /12/21 初版制定 /7/25 平成 28 年度初版制定 /8/7 平成 29 年度初版制定 /11/13 機能追加に伴い以下の箇所を更新 4 ログイン を更新 6 コメント対象情報参照 を更新 7 新規コメ

目次 1. ログイン P2 2. 送受信管理 P メールの新規送信 P 未送信 ( 保存 ) メールの編集 削除 P 送信済みメールの状況確認 P6 3. メンバー ( 送信先 ) 管理 P メンバーの新規登録 編集 P メンバーの削除 P

SQL インジェクションの脆弱性

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

Mailman管理者マニュアル

問合せ分類 1( 初期設定関連 ) お問い合わせ 初期設定の方法がわかりません 初期設定をご案内させていただきます 1 下記 URL をクリックし 規約に同意し サービス登録番号を入力をしてください

Ver.60 改版履歴 版数 日付 内容 担当 V /7/8 初版発行 STS V..0 04// Windows 8. の追加 STS V..0 05//5 Windows XP の削除 STS V.30 05/8/3 体裁の調整 STS V.40 05//9 Windows0 の追加

<4D F736F F D2089E696CA8F4390B35F B838B CA816A>

改訂履歴 改訂日 バージョン 作成者 2014/1/1 Ver VALTES 初版作成 改訂内容及び理由

クライアント証明書インストールマニュアル

HDC-EDI Manager Ver レベルアップ詳細情報 < 製品一覧 > 製品名バージョン HDC-EDI Manager < 対応 JavaVM> Java 2 Software Development Kit, Standard Edition 1.4 Java 2

( 目次 ) 初回ログインクリプト便送信クリプト便受信ご参考 P2~ P6~ P11~ P14~ 本マニュアルは NRIセキュアテクノロジーズ株式会社 ( 以下 NRI 社 という ) より提供されました2014 年 12 月 1 日時点の クリプト便 ユーザーマニュアルをもとに作成しております 最

目次 1. 教育ネットひむかファイル転送サービスについて ファイル転送サービスの利用方法 ファイル転送サービスを利用する ( ひむか内 ) ファイル転送サービスへのログイン ひむか内 PCでファイルを送受信する

注意 インストール中に ユーザアカウント制御 ( 以下 UAC といいます ) の実行確認画面が表示されることがあります 表示された場合ははいをクリックして インストールを進めてください なお 管理者以外の場合 管理者への昇格を求める UAC 画面が表示される場合がありますので 管理者アカウントのパ

Webセキュリティサービス

V-CUBE One

ケータイ de 会社メール

目次 1. 動作環境 お問合せの流れ 操作方法... 3 (1) お問合せ登録... 3 (2) 受付 URL 通知メール受信 / 認証処理 (3) 回答閲覧通知メール受信 / 回答閲覧 (4). 再問合わせ NITE 化審法

機能性表示食品制度届出データベース届出マニュアル ( 食品関連事業者向け ) 4-6. パスワードを変更する 画面の遷移 処理メニューより パスワード変更 を選択すると パスワード変更 画面が表示されます パスワード変更 画面において パスワード変更 をクリックすると パスワード変更詳細 画面が表示

< はじめに > 推奨環境インターネット伝送サービスをご利用いただくための推奨環境は以下の通りです OS ブラウザソフト Microsoft Windows Vista Microsoft Internet Explorer 8 Microsoft Windows 7(32bit/64bit) Mi

迷惑メール対策[Barracuda]操作マニュアル

SiteLock操作マニュアル

ウツタイン様式調査オンライン処理システム

1. ログイン 1. 下記の URL よりアクセスしてください 2. が表示されたら ユーザ名 ( 親 ID) とパスワード ( 親 ID パスワード ) をそれぞれの欄に正確に入力し ログイン ボタンをクリックしてください 3. ログインが完了すると メニュー

OmniTrust

V-CUBE One

はじめに本マニュアルは以下構成になっています Introduction はG-mai 操作方法のexplanation になります 次節はGmail のメールクライアント (Outlook Express 及びMozillaThunderbird) 設定方法となります OS はwindows XP

メール利用マニュアル (Web ブラウザ編 ) 1

PALNETSC0184_操作編(1-基本)

1. 信頼済みサイトの設定 (1/3) この設定をしないとレイアウト ( 公報 ) ダウンロードなどの一部の機能が使えませんので 必ず設定してください 1 Internet Explorer を起動し [ ツール ]-[ インターネットオプション (O)] を選択します 2 [ セキュリティ ] の

Microsoft Word - Activ 利用の手引きVer2.0.doc

Microsoft Word - Gmail-mailsoft_ docx

LiveCampus 教務システムマニュアル 学生用機能 LiveCampus 学生ツール URL: *URL が http ではなく https であることに御注意ください ユーザ ID( アカウント ): 別紙に

PowerPoint プレゼンテーション

1 はじめに はじめに 本マニュアルは アルファメールプラチナをご利用のお客様が 新 Web サーバー環境 に移行する手順と設定方法をご案内しております 新 Web サーバー環境ご利用開始までの手順について お客様 弊社 新 Web サーバー切替の申し込み P.3 新 Web サーバー切替のお申し込

目次 1. ユーザー登録 ( 初期セットアップ ) を行う Office365 の基本的な動作を確認する... 6 Office365 にログインする ( サインイン )... 6 Office365 からサインアウトする ( ログアウト )... 6 パスワードを変更する... 7

目次 1. 会員登録 推奨動作環境 サイト閲覧環境 シミュレーション動作環境 各種設定について メールアドレスおよびニックネームの登録 個人情報の取り扱い

App Store を開きます (iphone の場合 ) 検索に コインチェック と入力します 2

Microsoft PowerPoint - 【Webnner】はじめてのHULFT-WebFT.pptx

< E8E968BC6916E91A291E58A E58A772E B838B2E786C7378>

<4D F736F F D DEC90E096BE8F C E838B82CC836A C E312E31816A2E646F63>

Active Directory フェデレーションサービスとの認証連携

スライド 1

SeciossLink クイックスタートガイド Office365 とのシングルサインオン設定編 2014 年 10 月株式会社セシオス 1

クライアント証明書インストールマニュアル

Simple Violet

マイナンバー対策マニュアル(技術的安全管理措置)

PowerPoint プレゼンテーション

操作説明書

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

証明書インポート用Webページ

第 3 版 はじめに 06 年 0 月 6 日から Active!mail にログインする際は DOUBLE GATE( 多要素認証システム ) を使用して認証します ログイン認証方法は 学内ネットワークを利用する場合と学外ネットワークを利用する場合で異なります 学内から利用する場合

スライド 1

動作環境 ( 閲覧パソコン ) 新規でご利用いただく場合 : 項目条件対応 OS Windows 7 / 10 対応 Web ブラウザ Internet Explorer 11 / Google Chrome / Mozilla Firefox 但し Google Chrome のリビジョンによって

7 PIN 番号入力後 以下のアプレットエラーが表示されます 署名検証が失敗しました 署名検証が行なわれませんでした 8 PIN 番号入力後 以下のアプレットエラーが表示されます APPLET-ERROR APPLET-ERROR APPL

OS の bit 数の確認方法 - Windows0 及び Windows8. Windows のコントロールパネルを開きます Windows0 の場合 スタート から Windows システムツール の コントロールパネル をクリックします Windows8. の場合 スタート から PC 設定

<4D F736F F D F8E FEE95F1836C F8EE88F878F F88979D8BC68ED2976C A2E646F63>

目次 1. はじめに 動作環境 ログイン ログインページへのアクセス ログイン ID とパスワードの入力 ワンタイムパスワードの発行 ワンタイムパスワードによるログイン マスタ設定

2 目次 1 はじめに 2 システム 3 ユーザインタフェース 4 評価 5 まとめと課題 参考文献

Active! mail 6 操作マニュアル 株式会社トランスウエア Copyright TransWare Co. All rights reserved.

目次 はじめに サービス内容 管理者機能 利用者機能

在学生向けメールサービス

FTP 共有を有効にする あらかじめ作成済みの共有フォルダーを FTP 共有可能にする設定を説明します 共有フォルダーの作成方法は 画面で見るマニュアル をご覧ください ファイル数の多い共有フォルダーを変更すると 変更が完了するまでに時間がかかる場合があります また 変更が完了するまで共有フォルダー

目次 1. はじめに 証明書ダウンロード方法 ブラウザの設定 アドオンの設定 証明書のダウンロード サインアップ サービスへのログイン

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

Microsoft Word - WebClass Ver 9.08f 主な追加機能・修正点.docx

2011 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 1.1 今四半期に登録した脆弱性の種類別件数 す 別紙 2 共通脆弱性タイプ一覧 CWE ( *12) は 脆弱性の種類を識別するための共通の脆弱性タイプの一覧で C

Solar Link ARCH ソーラーリンクアーク Step 1 ログインと ID パスワードの変更 施工の際 一括監視画面に計測値が正常に表示されるかを施工ご担当者様にて確認する必要があります そのため まずは 設定メニュー画面 にログインして頂き 施工ご担当者様へ開示可能な ID パスワードに

Transcription:

各種学生情報システム群の脆弱性診断業務一式 仕様書 平成 31 年 1 月 独立行政法人国立高等専門学校機構

1. 件名 各種学生情報システム群の脆弱性診断業務一式 2. 目的独立行政法人国立高等専門学校機構 ( 以下 機構 という ) は 平成 16 年 4 月に独立行政法人化され 全国 51の国立高等専門学校 ( 以下 高専 という ) が一つの法人格にまとまることによるスケールメリットを活かした管理運営が求められている これまで各高専が独自に運用してきた各種学生情報システム群があるが 平成 25 年から教務システムの共通化を進めており 平成 31 年 10 月の全面稼働により 全国の 51 高専における教務データの多くが一元的に集約されることになる また その集約されたデータを活用して 各種学生情報システム群 ( 教務入試システム 出席管理システム 時間割システム 証明書発行システム ポートレートシステム ルーブリック集計システム ) が運用されることになる 本業務においては そのシステム群が本格運用される前に 脆弱性診断を行うことを目的とする 3. 調査に関する基本方針 1 診断対象一覧 診断対象は 以下 6 システムとする 教務入試システム ページ数 :150 画面 出席管理システム ページ数 :32 画面 時間割システム ページ数 :50 画面 証明書発行システム ページ数 :7 画面 ポートレートシステム ページ数 :4 画面 ルーブリック集計システムページ数 :18 画面 2 診断作業最低限 別紙診断実施項目一覧 の内容を満たす形で Web アプリケーション診断を実施すること 2.1 診断方法診断対象リクエスト通信に対して全診断実施項目の診断を実施すること なお 正常遷移時の応答と 検査文字列送信時の応答の差異を全て診断員が確認することで脆弱性の有無を判定すること また セッションやバリデーションに起因するエラー処理によって Web アプリケーションのロジックに潜む脆弱性の検出ができない可能性があることを踏まえ 各診断対象リクエスト通信においてエラー処理が発生しない 正常な処理が行われるリクエスト通信の内容を改ざんし 診断を実施すること 2.2 診断評価方法報告レベルは影響の度合いや再現性を考慮して 分類し報告すること 報告レベルはセキュリティ診断の専門家が分類すること 報告レベルの定義については

下表を参考にすること 報告レベル High Medium Low Informational 判断指標緊急性が高く 早急に対策が必要 間接的に攻撃に利用される可能性があり複数組み合わせることで実害へと発展する問題点 対策が必要 直接的な被害に発展する可能性は低いが 対策することで潜在的なリスクを回避可能な問題点 対策を推奨 報告レベルはつかないものの セキュリティ上好ましくないと考えられる事項 1 単純な脆弱性の種類に報告レベルを対応させるのではなく 実際に発生する恐れのあるリスクに対して報告レベルを設定すること 2.3 診断結果報告書の作成診断結果をまとめ報告書を作成すること 報告書には最低限以下の事項を記載すること 診断結果全体の評価 診断対象ごとの検出された脆弱性の情報 検出された脆弱性の報告レベル 検出された脆弱性の概要 検出された脆弱性による影響 検出された脆弱性の対策方法 脆弱性を検出したすべてのパラメータ 脆弱性を検出した際の入力文字列 検出された脆弱性ごとの確認した際のログ 3 診断結果に関するフォローアップ診断実施中に問い合わせが入った場合 これに対応すること また 報告書の記載内容に関しての問合せ ( 脆弱性の説明 脆弱性と判断するに至った根拠 脆弱性確認方法など ) を 報告書提出後の翌日から 3 ヶ月後まで電子メール若しくは電話にて行うこと 4. 請負期間契約締結日 ~ 平成 31 年 3 月 27 日 5. 業務請負場所契約担当役が指定する場所 6. 納入成果物納品物として 診断結果報告書を行う診断するシステムごとに作成し 電子媒体にて

提出すること 7. 請負条件請負者は以下の条件を満たしていなければならない 1 一般財団法人情報マネジメントシステム認定センター, 公益財団法人日本適合性認定協会若しくは海外の認定機関により認定された審査登録機関による ISO/IEC27001 又は JIS Q 27001 の認証を受けていること 2 一般財団法人日本情報経済社会推進協会からプライバシーマーク制度によるプイバシーマーク (JISQ15001) 使用許諾の認証を受けていること 3 IPA が公開する 情報セキュリティサービス基準適合サービスリスト の脆弱性診断サービスのサービス分野に登録されていること 4 情報システムの WEB サービスの脆弱性に関する診断を過去 1 年以内に200 件以上実施した実績があること 5 品質管理体制およびマニュアルが整備されていること 6 本業務の作業者に求める資質は次のとおり ( ア ) プロジェクトマネージャは情報セキュリティ診断のプロジェクトマネージメントを過去 1 年以内に3 件 ( 自社内の社内システムの診断は除く ) 以上行った実績を持つこと ( イ ) 診断のチームリーダは 情報処理安全確保支援士 ( 登録セキスペ ) であること システム監査技術者 CISA 情報セキュリティスペシャリスト テクニカルエンジニア ( 情報セキュリティ ) 情報セキュリティ監査人のうち いずれかの資格を有する者でもよしとする ( ウ ) 診断のチームリーダは過去 1 年以内に10 件以上の診断経験 ( 自社内の社内システムの診断は除く ) を持つこと ( エ ) 診断のチームは 最新の WEB サービスに対する攻撃の知識 情報 手法などを有し それを利活用した診断を実施すること 8. 機密保持 (1) 請負者は 本調達に係る作業を実施するに当たり 機構から取得した資料 ( 電子媒体 文書 図面等の形態を問わない ) を含め契約上知り得た情報を 第三者に開示又は本調達に係る作業以外の目的で利用しないものとする 但し 次のア ) ないしオ ) のいずれかに該当する情報は 除くものとする ア ) 機構から取得した時点で 既に公知であるものイ ) 機構から取得後 請負者の責によらず公知となったものウ ) 法令等に基づき開示されるものエ ) 機構から秘密でないと指定されたものオ ) 第三者への開示又は本調達に係る作業以外の目的で利用することにつき 事前に機構に協議の上 承認を得たもの (2) 請負者は 機構の許可なく 取り扱う情報を指定された場所から持ち出し あるいは複製してはならない

(3) 請負者は 本調達に係る作業に関与した請負者の所属職員が異動した後においても 機密が保持される措置を講じるものとする (4) 請負者は 本調達に係る検収後 請負者の事業所内部に保有されている本調達に係る機構に関する情報を 裁断等の物理的破壊 消磁その他復元不可能な方法により 速やかに抹消すると共に 機構から貸与されたものについては 検収後 1 週間以内に機構に返却するものとする 9. その他留意事項 (1) 本業務の履行について疑義が生じたとき 又は本業務に伴い機構と交わす契約書に定めのない事項については 機構及び請負者の双方で協議の上 決定すること (2) 本調達において第三者が有する著作物を巡る紛争が生じた場合には 当該紛争の原因が専ら機構の責めに帰す場合を除き 請負者の責任 負担において一切を処理すること 機構は 当該紛争の事実を知ったときは 請負者に通知し 必要な範囲で訴訟上の防衛を請負者に委ねる等の協力措置を講ずる

1. データベースへの不正アクセス 12 SQL エラーの発生 2. サーバシステムへの不正アクセス エラーメッセージ内に SQL 文が含まれたメッセージが表示されるかどうかを診断する 別紙診断実施項目一覧 No 診断実施項目 概要 診断実施項目の詳細 政府セキュリティ統一基準群 データ型が文字列型の部分に対して 特定の文字列を送った場合に データベースを不正に操作し 情報が漏えいするかを確認する データ型が文字列型の部分に対して 特定の文字列を送った場合に 情報漏えいまで確認はできないが データベースを不正に操作できるかを確認する データ型が数値型の部分に対して 特定の文字列を送った場合に データベースを不正に操作し 情報が漏えいするかを確認する 11 SQLインジェクション データベースと連動する処理において 任意のSQLコマンドが実行可能かどうかを診断する データ型が数値型の部分に対して 特定の文字列を送った場合に 情報漏えいまで確認はできないが データベースを不正に操作できるかを確認する SQL 文をクライアント側に受渡している場合に SQL 文を改ざんして送ることにより データベースを不正に操作し 情報漏えいするかを確認する SQL 文をクライアント側に受渡している場合に SQL 文を改ざんして送ることにより 情報漏えいまでは確認はできないが データベースを不正に操作できるかを確認する a) SQL インジェクション脆弱性 不正な操作を行った場合に 詳細な SQL エラーが画面に表示され 必要の無い情報が攻撃者に閲覧されないかを確認する a) SQL インジェクション脆弱性 No 診断実施項目概要診断実施項目の詳細政府セキュリティ統一基準群 21 22 OS コマンドインジェクション ディレクトリトラバーサル Web サーバ上から任意の OS コマンドが実行可能かどうかを診断する 本来公開していないディレクトリ等へのアクセスが可能かどうかを診断する OSコマンドをWebアプリケーションに送った場合に Webアプリケーションが動作しているサーバを不正に操作して その結果を閲覧できるか確認する OSコマンドをWebアプリケーションに送った場合に Webアプリケーションが動作しているサーバを不正に操作できるかを確認する SSI タグを Web アプリケーションに送った場合に Web アプリケーションが動作しているサーバを不正に操作して その結果を閲覧できるか確認する SSIタグをWebアプリケーションに送った場合に Webアプリケーションが動作しているサーバを不正に操作できるかを確認する../../../etc/passwdなどの文字列をWebアプリケーションに送った場合に サーバ上にある本来公開していないファイルにアクセスし 閲覧することにより情報が漏えいするかを確認する../../../etc/passwdなどの文字列をWebアプリケーションに送った場合に サーバ上にある本来公開していないファイルにアクセスし 閲覧はできないものの存在確認が可能かを確認する 3. 利用者に被害を与える恐れ No 診断実施項目 概要 診断実施項目の詳細 政府セキュリティ統一基準群 スクリプトをWebアプリケーションに送った場合に スクリプトが実行されるかを確認する HTML タグを Web アプリケーションに送った場合に タグがページに挿入され 見た目のページが変更可能かを確認する 属性値に出力がある場合に スクリプトが実行されるかを確認する 出力箇所が引用符で囲まれていないために スクリプトが実行されるか確認する href 属性に出力がある場合に スクリプトが実行されるかを確認する b) OS コマンドインジェクション脆弱性 k) eval インジェクション脆弱性 ( ) インジェクション系の問題点のひとつとして eval インジェクションも確認しています c) ディレクトリトラバーサル脆弱性 31 クロスサイトスクリプティング DOM(document object model) の仕組みを使って スクリプトが実行されるかを確認する ユーザのブラウザ上で任意のスクリプトを実行できるか不完全なマルチバイト文字列を送信し 記述されているクォートを無効化することで スクリプトが実行されるかを確認する どうかを診断する UTF7などの場合に スクリプトが実行されるかを確認する f) クロスサイトスクリプティング脆弱性 Javascript 内に出力がある場合に スクリプトが実行されるかを確認する バイナリデータを正しく扱うことができない関数がある場合に スクリプトが実行されるかを確認する 本来存在しないパラメータを追加した場合に スクリプトが実行されるかを確認する アップロードされたファイルにおいて スクリプトが実行されるかを確認する ブラウザが ContentType を無視することを利用し スクリプトが実行されるかを確認する 32 改行コードインジェクション Web サーバのレスポンスヘッダ もしくはメールヘッダに不正なヘッダの追加 本文の改ざんが可能かどうかを診断する レスポンスヘッダに改行や任意のヘッダを追加されることで 任意の Cookie を利用させることなどができるかを確認する メールヘッダに改行や任意のヘッダを追加されるか または宛先を追加できるかを確認する j) HTTP ヘッダインジェクション脆弱性 i) メールヘッダインジェクション脆弱性 33 クロスサイトリクエストフォージェリ 重要な最終確定処理において Cookie のみでセッション管理が行われていないかどうかを診断する ログイン認証があるサイトのユーザ情報変更画面のような重要な確定処理において セッションIDであるCookieのみでセッション管理が行われているかを確認する その結果 ユーザが意図せず情報を変更させられてしまうかを確認する 重要な最終確定処理において セッションIDであるCookieとワンタイムトークンであるhidden 値で対策している場合に Cookieとhidden 値が紐づいていないかを確認する g) クロスサイトリクエストフォージェリ脆弱性 重要な最終確定処理において Referer をチェックしている場合に チェックを回避できるかを確認する

4. セッション管理 認証の問題 No 診断実施項目概要診断実施項目の詳細政府セキュリティ統一基準群 URLにセッションIDが含まれているかを確認する セッションIDが推測可能かを確認する 41 セッション ID の扱い HTTPとHTTPSが混在しているサイトの場合に 適切にセッション管理が行われているかを確認する 適切にセッションIDが扱われているかどうかを診断する セッションIDの有効期限が長すぎるかを確認する d) セッション管理の脆弱性 ログアウト時にセッションが破棄されたかを確認する ログアウト機能があるかを確認する 42 Cookie の扱い Cookie の設定項目に対して診断する HTTPS サイトにおける Cookie に Secure フラグが付加されているかを確認する 43 強制ブラウジング 認証回避 ログイン画面以降の URL に直接アクセスし 認証を回避することが可能かどうかを診断する ログイン認証後の画面をログインせずに操作できるかを確認する ログイン認証後の画面をログインせずに閲覧できるかを確認する d) セッション管理の脆弱性 44 セッションフィクセイション 発行済みのセッション ID を利用させることが可能かどうかを診断する ログイン時に新規セッション ID が発行されているかを確認する URLRewriting 機能のように URL にセッション ID を含むことができるかを確認する d) セッション管理の脆弱性 45 認証時のアプリケーションのレスポンス内容 ユーザ認証の際のメッセージの内容からユーザの存在確認が可能かどうかを診断する ログイン画面における認証時に ログイン失敗時のメッセージから存在するログイン ID を確認する 46 権限昇格 制限されたリクエストを直接サーバへ送信することにより 権限を越えた処理が実行可能かどうかを診断する 想定外の操作を行うことにより 権限を越えた操作ができるかを確認する 想定外の操作を行うことにより 権限の無い画面にアクセスできるかを確認する e) アクセス制御欠如と認可処理欠如の脆弱性 5. アプリケーション固有の問題 No 診断実施項目概要診断実施項目の詳細政府セキュリティ統一基準群 リクエストを改ざんすることによって システムを不正に利用できるかを確認する 51 パラメータ改ざんによるシステムの不正利用 52 アップロード機能の不正利用 53 バッファオーバーフロー 54 内部サーバエラー Web アプリケーションに応じたシステムの不正利用が可能かどうかを診断する アップロード機能において 実行ファイルがアップロード可能かどうかを診断する また アップロードしたファイルがWebアプリケーション上から実行可能かどうかを診断する 長い文字列を送信することにより メモリ容量を超え不正な操作が可能かどうかを診断する また サーバ側で妥当性チェックがおこなわれているか診断する 不正な文字列を含むリクエストを送信した場合 エラーハンドリングが適切に行われているか診断する 例 ) 商品価格を改ざんして 購入処理が完了することを確認する メールの宛先を変更して メールを送信できるかを確認する リクエストを改ざんすることにより 転送先を改ざんすることができるかを確認する スクリプトファイルをアップロードし サーバ側でスクリプトが実行可能かを確認する 長い文字列を送った場合に サイトに負荷がかかり応答が遅くなることや サイトが停止することを確認する 不正な文字列を送信した場合に 内部サーバエラーが発生するかを確認する e) アクセス制御欠如と認可処理欠如の脆弱性 m) バッファオーバーフロー及び整数オーバーフロー脆弱性

6. セキュリティへの配慮 No 診断実施項目 概要 診断実施項目の詳細 政府セキュリティ統一基準群 通常公開していないURLにアクセスした場合に 重要なファイルが閲覧可能かを確認する 61 コモンファイルエクステンション Web アプリケーションの URL に応じたファイルやディレクトリの存在の確認を診断する 通常公開していないURLにアクセスした場合に バックアップファイルが取得可能かを確認する 通常公開していないURLにアクセスした場合に ソースコードが閲覧可能かを確認する 通常公開していないURLにアクセスした場合に ディレクトリが存在する反応があるかを確認する ディレクトリにアクセスした場合に ディレクトリ内のファイル一覧が閲覧可能かを確認する 62 SSL の設定 重要情報が適切に HTTPS で保護されているか診断する 本来 HTTPS 通信で行われる処理に対し HTTP 通信で処理が行われるかを確認する HTTPSサイトにアクセスした場合に ブラウザに鍵マークが表示されるかを確認する 不正な操作をした場合に詳細なデバック情報などの詳細なエラーが表示されないかを確認する 63 サーバの設定 適切なサーバ設定が行われているかどうかを診断する 想定外の操作 もしくは正常動作において 内部 IPアドレスが表示されるかを確認する 想定外の操作 もしくは正常動作において 内部パスが表示されるかを確認する h) クリックジャッキング脆弱性 TRACE/TRACK メソッドが有効かを確認する 重要な情報の通信時に HTTPS で通信が行われているかを確認する サイトにアクセスした PC ブラウザのキャッシュに重要な情報が残るかを確認する l) レースコンディション脆弱性 64 重要情報の扱い 重要情報が適切に扱われているかどうかを診断する Cookieに個人情報などの重要な情報があるかを確認する URLにアカウント情報や個人情報などの重要な情報があるかを確認する 明示的には診断項目に含まれていませんが 当該脆弱性に起因すると考えられる問題が確認できた場合は報告させていただきます クレジットカード情報などの重要な情報が画面に全て表示されるかを確認する 65 妥当性チェック 入力値に対して適切な妥当性チェックが行われているかどうかを診断する セレクトボックスなどの固定値の部分に対し 任意の値をサーバに送り 正常に動作するかを確認する ラジオボタンなどの固定値の部分に対し 任意の値をサーバに送り 正常に動作するかを確認する 通常ブラウザから任意の入力を想定していない部分に対し 任意の値を送り 正常に動作するかを確認する アドレスバー ステータスバーが表示されているかを確認する 66 不適切な画面設計 セキュリティ上好ましくない画面設計が行われていないどうかを診断する 右クリックメニュー ( コンテキストメニュー ) の表示を規制しているかを確認する パスワード入力時にパスワード属性が使用されているかを確認する HTTP のフレーム内に HTTPS のフォームが存在するかを確認する

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック