• If a web server has to be shared among different sections or even departments, different web content directories or resources should be granted with access control to restrict the access, execution and storage of these web applications.
• No links to internal files, which are stored outside the assigned web directories, should be set in the web applications.
• No administration privileges on the OS and web server should be granted to web content developers.
• Establish web content management procedures for posting or updating web pages and applications to the web server.
・割り当てられたウエブ・ディレクトリー以外に保存される内部ファイルへのリンクは、ウエブアプリケーションに設定されるべきではない。
・ウエブ・コンテンツの開発者には、OSやウエブサーバーを管理する権限を与えるべきではない。
・掲示、ウエブページやサーバーのアプリケーションの更新に対するウエブ・コンテンツ管理手順を確立すること。
どの内部ファイルへのリンクも、割り当てられたウェブディレクトリ外に保存されているWebアプリケーションで設定するべきではありません。
•どのOSとWebサーバー上の管理者権限も、 Webコンテンツ開発者に授与するべきではありません。
•Webサーバーにウェブページ、アプリケーションを最新化または更新するためのWebコンテンツ管理手順を確立してください。
• For web forms or applications that accept user input, all input data should be properly checked, validated and sanitised before passing to the backend application. Any unexpected input, e.g. overly long input, incorrect data type, unexpected negative values or date range, unexpected characters such as those rejected by the application for bounding character string input etc., should be handled properly and would not become a means for attacking the application.
• Unnecessary contents such as platform information in server banners, help database, online software manuals, and default or sample files should be removed from production servers to avoid disclosure of internal system information.
想定されていないどんな入力―つまり長すぎる入力、正しくないデータタイプ、想定外の負の値やデータ幅、バウンディング文字列入力などのアプリケーションに拒否される想定外の文字―も適切に扱われ、アプリケーションを攻撃する手段となってはならない。
・サーバープラットフォーム情報のような不必要なコンテンツ、ヘルプデータベース、オンライン・ソフトウェアマニュアルそしてデフォルトやサンプルファイルは、内部システム情報の露出を避ける為に、プロダクションサーバーから削除されるべきである。
•不要な内容が内部システム情報の開示を避けるために、そのようなサーバのバナー内のプラットフォーム情報、ヘルプデータベース、オンラインソフトウェアのマニュアル、およびデフォルトまたはサンプルファイルなどを本番サーバから削除する必要があります。
COMMON GATEWAY INTERFACE (CGI) SCRIPTS AND APPLICATION PROGRAMMING INTERFACE (API) PROGRAMS
Usually web servers can be extended using Common Gateway Interface (CGI) scripts and Application Programming Interfaces (APIs) to improve their capabilities. Default CGI scripts supplied with web servers may provide unintentional "back door" access to web content. Such scripts may leak internal information about the host system and may be vulnerable to attacks. Moreover, CGI scripts often accept user input data.
The following items should be observed and followed:
• CGI scripts and API programs should be properly designed, tested and examined to ensure that they only perform the desired function.
通常、ウェブサーバは、その能力を向上させるために、コモン・ゲートウェイ・インターフェース(CGI)スクリプトおよびアプリケーション・プログラミング・インターフェース(API)を使用して拡張することができます。Webサーバに付属のデフォルトのCGIスクリプトは、Webコンテンツへの意図的でない"バックドア"アクセスを提供する可能性があります。
このようなスクリプトは、ホストシステムに関する内部情報を漏洩したり、攻撃に対して脆弱である可能性があります。また、CGIスクリプトは、多くの場合、ユーザーの入力データを受け入れます。
以下の項目を順守し、従わなければなりません:
・CGIスクリプトとAPIプログラムは、望みの機能だけを実行することを確実にするために、正しく設計され、テストされ、検査される必要があります。
通常、ウェブサーバは、その能力を向上させるためにコモンゲートウェイインターフェース(CGI)スクリプトおよびアプリケーション·プログラミング·インターフェース(API)を使用して拡張することができる。
Webサーバ付属のデフォルトのCGIスクリプトは、Webコンテンツへの意図的でない"バックドア"アクセスを提供することができる。このようなスクリプトは、ホスト·システムに関する内部情報を漏らすことや攻撃に対して脆弱である可能性があります。また、CGIスクリプトは、多くの場合、ユーザーの入力データを受け入れます。
以下の項目よく読み従わなければなりません:
•CGIスクリプトとAPIプログラムが正しく設計、テストそして、それらが望みどおりの機能を確実に実行することを調べるべきである。
Wonderful!