« 応用情報技術者標準教科書(2013年版) 補足「Dotyモデル」「Putnamモデル」 | Main | 応用情報技術者標準教科書(2013年版) 補足「因果関係分析法」「時系列回帰分析法」 »

April 12, 2013

応用情報技術者標準教科書(2013年版) 補足「Webアプリケーションセキュリティ」

下記は拙著「応用情報技術者標準教科書」の2014年版(仮称)において差替を検討している項目です。
2013年版の補足として公開します。

p.350 9.5.4〔2〕Webアプリケーションセキュリティ【差替】

 WebクライアントがWebサーバに送信するデータを検査することや、Webアプリケーションのぜい弱性を解消することで、Webアプリケーションセキュリティを実現します。前者により、SQLインジェクション(⇒p.348(9.5.5〔1〕)参照)などの攻撃を遮断する技術としてWAF(Webアプリケーションファイアウォール)があります。
 また、クロスサイトリクエストフォージェリ(⇒p.319(9.1.5)参照)などを防止するために、ログイン画面からの会話の流れにおいてページトークンを受け渡す技法を用います。ページトークンはHTMLのhiddenパラメータによって送受信する秘密情報で、受け渡しは必要最小限の範囲で行うことがポイントです。なお、パラメータをURLに付加するGETメソッドでアクセスすると、ページトークンも付加してしまうため、出力の効率が低い代わりにパラメータをURLに付加しないPOSTメソッドを用います。

[索引追加] GETメソッド、POSTメソッド

|

« 応用情報技術者標準教科書(2013年版) 補足「Dotyモデル」「Putnamモデル」 | Main | 応用情報技術者標準教科書(2013年版) 補足「因果関係分析法」「時系列回帰分析法」 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference 応用情報技術者標準教科書(2013年版) 補足「Webアプリケーションセキュリティ」:

« 応用情報技術者標準教科書(2013年版) 補足「Dotyモデル」「Putnamモデル」 | Main | 応用情報技術者標準教科書(2013年版) 補足「因果関係分析法」「時系列回帰分析法」 »