SecureWeblogの構築

SecureWeblogの構築
下藤弘丞
1.はじめに
Weblogとは電子掲示板と同じくサーバのデータにア
クセスするためのウェブアプリケーションである。
近年ウェブアプリケーションのセキュリティ保持が
叫ばれている。
そこでこの研究ではPerlを用いて実際にWeblogを作
成し、どのようにすればセキュアなウェブアプリケ
ーションが構築できるのかを考察する。
2.開発環境




OS : Vine Linux 4.2
Server : Apache2
Database : PostgreSQL
Programing Language : Perl 5.8.6
3.作成したファイル



blog.cgi : HTMLからのポストデータの受け
取り、条件分岐、データベースとの対話を
担う。
setup.cgi : 初期設定用CGIである。パスワー
ドファイルの作成、データベーステーブル
の作成、必要なディレクトリの作成などを
行う。BLOG構築の最初の一度のみの起動
を想定している。よってセキュリティは意
識していない。
HTML Template : HTMLのデザイン担う。
4.表示に関する３つのモード



Main View
Categories View
Perma Link View
5.Main View

記事投稿順に順次表
示する。
6.Perma Link View


記事個別の表示、コ
メント表示と投稿も
ここで行う。
TrackBack受け取り
にもPermaLinkが必
要となる。
7.セキュリティについて


ウェブアプリケーションのセキュリティホ
ールはFirewall,IDS(不正侵入検知システム)
等では防げない。
DatabaseやOSの機能を使うと危険因子は増
える。
8.攻撃の種類の一例





XSS（クロスサイトスクリプティング)
Path Traversal(パス乗り越え）
SQL Injection(SQLインジェクション)
OS Command Injection
セッションハイジャック
9.攻撃の対処方


XSS,Path Traversal, SQL Injection, OS
Command Injection : 入力値チェック、サニ
タイジング（攻撃によって無害化する文字
は異なる)
セッションハイジャック : セッションIDの
強度を高める。https通信を使う。
10.おわりに
使い勝手がよく、セキュアなウェブアプリケ
ーションが構築できたと考えている。
しかし、セキュリティ向上に終わりはないの
で、さらに研究していきたい。
目下の課題としてはスパムへの対策、自分が
一定期間使ってみておかしいところはないか
のテストが挙げられる。

Download Report