« 応用情報技術者標準教科書(2013年版) 補足「Dotyモデル」「Putnamモデル」 | Main | 応用情報技術者標準教科書(2013年版) 補足「因果関係分析法」「時系列回帰分析法」 »

April 12, 2013

応用情報技術者標準教科書(2013年版) 補足「Webアプリケーションセキュリティ」

下記は拙著「応用情報技術者標準教科書」の2014年版(仮称)において差替を検討している項目です。
2013年版の補足として公開します。

p.350 9.5.4〔2〕Webアプリケーションセキュリティ【差替】

 WebクライアントがWebサーバに送信するデータを検査することや、Webアプリケーションのぜい弱性を解消することで、Webアプリケーションセキュリティを実現します。前者により、SQLインジェクション(⇒p.348(9.5.5〔1〕)参照)などの攻撃を遮断する技術としてWAF(Webアプリケーションファイアウォール)があります。
 また、クロスサイトリクエストフォージェリ(⇒p.319(9.1.5)参照)などを防止するために、ログイン画面からの会話の流れにおいてページトークンを受け渡す技法を用います。ページトークンはHTMLのhiddenパラメータによって送受信する秘密情報で、受け渡しは必要最小限の範囲で行うことがポイントです。なお、パラメータをURLに付加するGETメソッドでアクセスすると、ページトークンも付加してしまうため、出力の効率が低い代わりにパラメータをURLに付加しないPOSTメソッドを用います。

[索引追加] GETメソッド、POSTメソッド

|

« 応用情報技術者標準教科書(2013年版) 補足「Dotyモデル」「Putnamモデル」 | Main | 応用情報技術者標準教科書(2013年版) 補足「因果関係分析法」「時系列回帰分析法」 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/27993/57158576

Listed below are links to weblogs that reference 応用情報技術者標準教科書(2013年版) 補足「Webアプリケーションセキュリティ」:

« 応用情報技術者標準教科書(2013年版) 補足「Dotyモデル」「Putnamモデル」 | Main | 応用情報技術者標準教科書(2013年版) 補足「因果関係分析法」「時系列回帰分析法」 »