No default or custom CGI scripts and APIs should be remained on the server unless they are thoroughly tested and verified.
• These programs should be run and stored in a restricted environment such as in a designated directory, to limit the access and facilitate the maintenance.
• These programs should be given executable permissions only, but not readable or writable permissions. Use of system resources should be limited including the CPU time, timeout period and disk utilisation. Access to other data files or information should be properly restricted.
• Programs should not be resided in the default directories of CGI scripts and API programs such as compilers, interpreters, shells and scripting engines.
• これらのプログラムは、アクセス制限と保守をしやすくするため、特定のディレクトリなど、制限された環境下において実行、保管されなければなりません。
• これらのプログラムは実行許可のみ付与されるべきで、読み取りおよび書き込み許可は付与しないでください。CPU時間、タイムアウト期間、およびディスク使用を含む、システム資源の利用は制限されるべきです。データファイルや情報へのアクセスも適当に制限されるべきです。
•プログラムはコンパイラー、インタプリター、シェル、およびスクリプトエンジンといったCGIスクリプトやAPIプログラムのディフォルトディレクトリには置かれるべきではありません。
•これらのプログラムは、指定されたディレクトリに、アクセスを制限しメンテナンスを容易にするために制限された環境で実行され、保存されるべきである。
•これらのプログラムは、実行可能な権限のみ与えられるべきで、読み取り可能、書き込み可能な権限を与えられるべきではありません。
システムリソースの使用は、CPU時間、タイムアウト時間とディスクの使用率などを含めて制限されるべきです。他のデータファイルや情報へのアクセスは適切に制限する必要があります。
•プログラムは、CGIスクリプトや、コンパイラ、インタプリタ、シェルとスクリプトエンジンといったAPIプログラムデフォルトのディレクトリに存在するべきではありません。
They should be located safely in appropriate directories and should be removed completely from the web server when not required.
• User data input to these CGI scripts and API programs should be properly checked, validated and sanitised before passing to the server software or the underlying OS to prevent them from triggering command-line function.
AUTHENTICATION
• Wherever applicable, use strong authentication schemes such as digital certificates, smart cards and tokens for remote administration control and authentication of critical applications, servers and clients.
• Use encrypted connection such as Hypertext Transfer Protocol Secure (HTTPS) for transmission of sensitive information.
・これらのCGIスクリプトとAPIプログラムへのユーザーのデータ入力は、コマンドライン機能をトリガすることを防ぐために、サーバーソフトウェアまたは下層のOSに渡す前に適切に確認、検証され、不適切な部分を削除する必要があります。
認証
・適用できる場合には、デジタル証明書、リモート管理制御やクリティカルなアプリケーション、サーバーやクライアントのためのスマートカードやトークンなどの強力な認証スキームを使用してください。
・機密情報の伝送のためには、ハイパーテキスト・トランスファー・プロトコル・セキュア(HTTPS)などの暗号化された接続を使用してください。
•それらのCGIスクリプトとAPIプログラムへのユーザーデータ入力は、正しく調査、確認そして
コマンドライン機能のトリガリングからそれらを防ぐために、サーバーソフトウェアまたは基礎OSへの移行前にサニタイズされるべきである。
認証
•適用可能であればどこでも、そのようなデジタル証明書、スマートカードおよびリモート管理制御用トークン、最大稼働中のアプリケーションへの認証、
サーバーとクライアントに強力な認証用スキームを使用しています。
•機密情報の伝送のためにこのようなハイパーテキスト転送プロトコルセキュア(HTTPS)などの暗号化された接続を使用してください。
Excellent!