Cookieやセッションパラメータの取り扱いも注意が必要です。例えば、ログイン時に最初に発行したcookieをログアウトするまで使いつづけている場合、そのcookieが奪取されるとそのユーザのセッションそのものがハイジャックされてしまうことになります。JavaもしくはJSPでサーブレットを作成する場合、javax.servlet.http.HttpSessionインターフェースを利用するとセッション管理にJSESSIONIDというcookieが使用されます。JSESSIONIDは、HttpSessionインターフェースの使い方によって、ページ単位に変化させることも、継続して使用することも可能ですが、容易にセッションを維持することに重点をおいて、JSESSIONIDの秘匿性・再利用性まで配慮されないまま、JSESSIONIDを継続して使用している事例が多く見受けられます。 2003年10月10日に経済産業省から発表された情報セキュリティ総合戦略には国や自治体のシステム開発にセキュアプログラミング手法の確立と実用化の適用を検討することが施策例として挙がっています。また更に踏み込んで侵入テストの実施についても検討されています。国や自治体のシステム開発に関わる企業だけではなく、お金や個人情報を取り扱うアプリケーションやパッケージソフトを開発する企業、または商用サイトも同様にこれらの課題に対応しなければ、遅かれ早かれ標的のWebサイトにされて大問題につながるかもしれません。■Sanctum AppScan 評価版無償評価版キャンペーン (トレーニングコース同時開催)について Webアプリケーションに潜在する脆弱性をご理解いただくため、AppScan評価版を大々的にお貸し出しいたします。同時にその評価をより効率的に実施いただくためにトレーニングコースを開催いたします。 このトレーニングコースにご参加いただきましたお客様にはAppScan評価版を無償でお貸し出しいたします。是非この機会にWebアプリケーションに潜在するセキュリティホールの発見から解決までの効果的なプロセスをご体験いただきたく多くのお客様からのご参加をお待ち申し上げております。AppScanの主な機能●自動スキャン機能 ― 市販、自社開発のWebアプリケーションに自動でテス トを実行します●スケジュール機能 ― テスト スケジュールを自動で管理します●豊富なテストパターン ― テストパターンの豊富さは業界トップ●操作の容易さ ― 日本語のヘルプを参照してテストが可能●レポート機能 ― レポートは日本語化されており、テスト結果の編集が可能日程:11月14日(金)11月20日(木)11月21日(金)時間:15:00〜17:00会場:テクマトリックス(株)本社 2Fセミナールーム定員:20名費用:無料 参加条件:Webアプリケーションの設計、開発、品質などに関係されている方 セキュリティ診断の企画、サービス提供などに関係されている方 セキュリティ製品の再販、取り扱いなどに関係されている方 (競合他社からの情報収集はお断りします)申込みページ: http://www.techmatrix.co.jp/sanctum/seminar/index2.htm (詳しくはScan本誌をご覧ください)http://www.vagabond.co.jp/cgi-bin/ct/p.cgi?m-sc_netsec
