先日投稿したこちらの記事の続編です。
本日はフィッシング詐欺への対策についてまとめていきます。
教材
教材はIPAが出している安全なウェブサイトの作り方を使っています。
https://www.ipa.go.jp/security/vuln/websecurity.html
フィッシング詐欺とは?
フィッシング詐欺とは、悪意のある人が、金融サイトやショッピングサイト等を装った偽のウェブサイトを 作成して、利用者を巧みにそこへ誘導して、利用者の認証情報やクレジットカード番号等を不正に取得 するものです
引用:
https://www.ipa.go.jp/security/vuln/websecurity.html
安全なウェブサイトの作り方 改訂第7版
対策
EV SSL証明書を取得し、サイトの運営者が誰であるかを証明する
EV SSL 証明書を用いると HTTPS 通信でアクセスした際、ブラウザのアドレスバーに組織名が緑色で表示されます
引用:
https://www.ipa.go.jp/security/vuln/websecurity.html
安全なウェブサイトの作り方 改訂第7版
SSLサーバ証明書の種類
- ドメイン認証
- 企業実在認証
- EV 認証
ドメインの所有者と運営組織の法的実在性の確認の他、組織の所在地や申し込み意思と権限を確認し、発行される証明書です。
EV認証は世界標準の認証ガイドラインがあり、サーバ証明書の中で最も厳格な審査が行われます。
引用:https://jp.globalsign.com/ssl-pki-info/ssl_beginner/types-of-ssl.html
リダイレクト先や子フレームのURLを外部パラメータから取得しないようにする。
例えば下記のようにリダイレクト先をクエリストリングで指定している場合、クエリストリングの値を変えたURLが投稿されると悪意のあるサイトにリダイレクトされてしまいます。
https://hogehoge.jp?url=https://fugafuga.jp
このように外部パラメータからURLを取得してしまうと思わぬ脆弱性を注入してしまいます。