No default or custom CGI scripts and APIs should be remained on the server unless they are thoroughly tested and verified.
• These programs should be run and stored in a restricted environment such as in a designated directory, to limit the access and facilitate the maintenance.
• These programs should be given executable permissions only, but not readable or writable permissions. Use of system resources should be limited including the CPU time, timeout period and disk utilisation. Access to other data files or information should be properly restricted.
• Programs should not be resided in the default directories of CGI scripts and API programs such as compilers, interpreters, shells and scripting engines.
どのよううなデフォルトもしくはカスタムCGIスクリプトおよびAPIも、入念にテストおよび確認されないかぎり、サーバーに残してはいけません。
• これらのプログラムは、アクセス制限と保守をしやすくするため、特定のディレクトリなど、制限された環境下において実行、保管されなければなりません。
• これらのプログラムは実行許可のみ付与されるべきで、読み取りおよび書き込み許可は付与しないでください。CPU時間、タイムアウト期間、およびディスク使用を含む、システム資源の利用は制限されるべきです。データファイルや情報へのアクセスも適当に制限されるべきです。
•プログラムはコンパイラー、インタプリター、シェル、およびスクリプトエンジンといったCGIスクリプトやAPIプログラムのディフォルトディレクトリには置かれるべきではありません。
They should be located safely in appropriate directories and should be removed completely from the web server when not required.
• User data input to these CGI scripts and API programs should be properly checked, validated and sanitised before passing to the server software or the underlying OS to prevent them from triggering command-line function.
AUTHENTICATION
• Wherever applicable, use strong authentication schemes such as digital certificates, smart cards and tokens for remote administration control and authentication of critical applications, servers and clients.
• Use encrypted connection such as Hypertext Transfer Protocol Secure (HTTPS) for transmission of sensitive information.
それらは適切なディレクトリに安全に配置する必要があり、必要のないときには、Webサーバから完全に削除する必要があります。
・これらのCGIスクリプトとAPIプログラムへのユーザーのデータ入力は、コマンドライン機能をトリガすることを防ぐために、サーバーソフトウェアまたは下層のOSに渡す前に適切に確認、検証され、不適切な部分を削除する必要があります。
認証
・適用できる場合には、デジタル証明書、リモート管理制御やクリティカルなアプリケーション、サーバーやクライアントのためのスマートカードやトークンなどの強力な認証スキームを使用してください。
・機密情報の伝送のためには、ハイパーテキスト・トランスファー・プロトコル・セキュア(HTTPS)などの暗号化された接続を使用してください。
