• If a web server has to be shared among different sections or even departments, different web content directories or resources should be granted with access control to restrict the access, execution and storage of these web applications.
• No links to internal files, which are stored outside the assigned web directories, should be set in the web applications.
• No administration privileges on the OS and web server should be granted to web content developers.
• Establish web content management procedures for posting or updating web pages and applications to the web server.
・一つのウエブサーバーを異なるセクションや部門間で共有する必要がある場合は、異なるウエブコンテンツ・ディレクトリーやリソースが割り当てられるべきで、これらのウエブ・アプリケーションへのアクセス、実行及び保存を制限する為のアクセス制御が付与されるべきである。
・割り当てられたウエブ・ディレクトリー以外に保存される内部ファイルへのリンクは、ウエブアプリケーションに設定されるべきではない。
・ウエブ・コンテンツの開発者には、OSやウエブサーバーを管理する権限を与えるべきではない。
・掲示、ウエブページやサーバーのアプリケーションの更新に対するウエブ・コンテンツ管理手順を確立すること。
• For web forms or applications that accept user input, all input data should be properly checked, validated and sanitised before passing to the backend application. Any unexpected input, e.g. overly long input, incorrect data type, unexpected negative values or date range, unexpected characters such as those rejected by the application for bounding character string input etc., should be handled properly and would not become a means for attacking the application.
• Unnecessary contents such as platform information in server banners, help database, online software manuals, and default or sample files should be removed from production servers to avoid disclosure of internal system information.
・ユーザーの入力を受け入れるウエブフォームやアプリケーションに対して、入力データがバックエンド・アプリケーションに通過する前に、全ての入力データが適切にチェック、有効化及び不要部分の削除がなされるべきである。
想定されていないどんな入力―つまり長すぎる入力、正しくないデータタイプ、想定外の負の値やデータ幅、バウンディング文字列入力などのアプリケーションに拒否される想定外の文字―も適切に扱われ、アプリケーションを攻撃する手段となってはならない。
・サーバープラットフォーム情報のような不必要なコンテンツ、ヘルプデータベース、オンライン・ソフトウェアマニュアルそしてデフォルトやサンプルファイルは、内部システム情報の露出を避ける為に、プロダクションサーバーから削除されるべきである。
COMMON GATEWAY INTERFACE (CGI) SCRIPTS AND APPLICATION PROGRAMMING INTERFACE (API) PROGRAMS
Usually web servers can be extended using Common Gateway Interface (CGI) scripts and Application Programming Interfaces (APIs) to improve their capabilities. Default CGI scripts supplied with web servers may provide unintentional "back door" access to web content. Such scripts may leak internal information about the host system and may be vulnerable to attacks. Moreover, CGI scripts often accept user input data.
The following items should be observed and followed:
• CGI scripts and API programs should be properly designed, tested and examined to ensure that they only perform the desired function.
コモン・ゲートウェイ・インターフェース(CGI)スクリプトとアプリケーション・プログラミング・インターフェース(API)プログラム
通常、ウェブサーバは、その能力を向上させるために、コモン・ゲートウェイ・インターフェース(CGI)スクリプトおよびアプリケーション・プログラミング・インターフェース(API)を使用して拡張することができます。Webサーバに付属のデフォルトのCGIスクリプトは、Webコンテンツへの意図的でない"バックドア"アクセスを提供する可能性があります。
このようなスクリプトは、ホストシステムに関する内部情報を漏洩したり、攻撃に対して脆弱である可能性があります。また、CGIスクリプトは、多くの場合、ユーザーの入力データを受け入れます。
以下の項目を順守し、従わなければなりません:
・CGIスクリプトとAPIプログラムは、望みの機能だけを実行することを確実にするために、正しく設計され、テストされ、検査される必要があります。