【SecureIIS Web(1)】IISへの攻撃を自動的にシャットアウト
(執筆:Port139 伊原秀明)(2001.10.04)
https://www.netsecurity.ne.jp/article/7/2964.html
【SecureIIS Web(2)】IISへの攻撃を自動的にシャットアウト
(執筆:Port139 伊原秀明)(2001.10.11)
https://www.netsecurity.ne.jp/article/7/3010.html
【SecureIIS Web(3)】IISへの攻撃を自動的にシャットアウト
(執筆:Port139 伊原秀明)(2001.10.18)
https://www.netsecurity.ne.jp/article/7/3057.html
現在注目を浴びているクロスサイトスクリプティング問題についても、SecureIIS が有効であることがわかった。
SecureIIS は、定義ファイル等を用いたペイロード方式の製品ではないため、すべてのクロスサイトスクリプティングを防げるものではないが、典型的なクロスサイトスクリプティングとして考えられる以下のような攻撃は適切な設定を行うことで防御することが可能である。
・URLにスクリプトを記述して、不正にスクリプトを実行する
・フォームデータの処理などを悪用して、Webページにスク
リプトを埋め込む
例えば、SecureIIS のキーワードフィルタリング機能を用いて、URL、ヘッダ、クエリ、POSTデータをフィルタすることが可能である。
キーワード「
上記の設定による対応はひとつの例であり、他にも様々なケースが考えられる。SecureIIS ならば、高度な知識をもたない利用者でも柔軟かつ容易に、設定をにカスタマイズすれば対応が可能であると考えられる。
現在稼動しているすべてのサービスをチェックして修正を行ったり、CGIでフィルタリングをプログラムを組むよりは、SecureIISによって上記のようなフィルタリングをおこなう方が、より単純で手軽な方法であるといえる。
SecureIIS ページ
http://shop.vagabond.co.jp/o-sis01.shtml
