セキュリティチェックもどこかでまとめてやってしまいたいのですが、、、
どこか良いチェックサイトをご存じでしたら教えてください。
#Apache&MOD Security入れています。
あとは、第三者評価を入れるといいと思います。
| PHPサイバーテロの技法―攻撃と防御の実際 | |
ソシム 2005-11 売り上げランキング : 15664 おすすめ平均 Amazonで詳しく見る by G-Tools | |
このほんを読んで、とりあえずチェックリストを作成しましょう。
私も、id:pahoo さんの推薦する、IPAのサイトを推薦します。
一回みておくとよいでしょう。
また、id:asahiru さんのサイバーテロの技法は本当に役に立つと思います。
何度も熟読しました。
その中に書いてあることですが、
MaxPatrol でチェックするとよいかもしれません。
https://www.evestigate.com/security%20scanner%20download.htm
700ドルくらいするみたいですが、URLを入力すると、
テストを自動的にばーっとやってくれて、
ここが、クロスサイトスクリプティング脆弱性があるよ。とか、
ここで、こんな攻撃をさせる可能性があるとかを教えてくれます。
でも、700ドルなんて出せないよという人のために、評価版もダウンロード可能なので、
私はそっちを使っていました。どんな脆弱性があるかは教えてくれますが、
どこそこにあるとかそういうことは教えてくれません。
それでも、重宝しました。
あと、これはセキュリティではないのですが、負荷テストをするために、
Jmeterを使っていました。
http://www.stackasterisk.jp/tech/engineer/jmeter01_01.jsp
一台のマシンで、複数台からのDDOS攻撃のまねごととかできます。
「一度に10台から同時にアクセスしたことにする」とかが簡単にできます。
ログがものすごく汚れますが、試してもよいかと思います。
あと、これもセキュリティとは関係ないですが、
ハイパフォーマンスWebサイト ―高速サイトを実現する14のルール
これもよかったです。真ん中らへんは、随分とすっ飛ばしましたが、
Webアクセスの作法などがよくわかります。
ただ、この本の通りにすると、ブラウザによってはまれに副作用がありますので、ご注意ください[javascriptは最後におくとか。]。
PHPのセキュリティの専門家としても有名な大垣さんの連載記事
http://gihyo.jp/dev/serial/01/php-security
まぁ、セキュリティ対策は様々在りますが、最低限でも
SQLインジェクション
XSS
だけはしっかりチェックしましょう。
もちろん、OSコマンドやincludeやrequireなどにも注意する必要がありますが、まぁ、include($_GET['user']) みたいな事はしないにせよ、SQLInjetionは未だにありますので、要注意です。
特に文字エンコードの違いを利用したSQLインジェクションも多発していますので、単にmysql_real_es...でくくればいいというものではなさそうです。
いずれにせよ、大企業のECサイトですらハッキングされている現状なので、きちっとコードを確認し万全を尽くし、又万が一情報が漏洩しても大丈夫なように暗号化やハッシュ化はしておくのがベストでしょう。(転ばぬ先の杖)
http://www.dit.co.jp/service/check/index.html
開発依頼元からお金がでるんでしたら、ここに頼みましょう。
費用はかかりますが、結構丁寧で報告書も解決策まで記載されており、良いです。
→昔頼んだ際は良かったです。
ありがとうございます。
使い勝手向上とセキュリティ対策は、トレードオフだと痛感します。
セキュリティ対策がユーザーの安心感を生み、結果ユーザーの使い勝手が良いことになる、、、
という流れができてくればよいのですが。。。まあ、がんばります。