この募集は2021年02月27日に終了しました。

クロスサイトスクリプティング対策・サーチフォームの仕事 [IT・通信・インターネット]

クロスサイトスクリプティング対策・サーチフォームに関する仕事・募集案件ページです。クラウドソーシングのランサーズで、Webシステム開発・プログラミングに関する最適な外注/発注先をお探しの方、副業案件・求人をお探しのフリーランスの方はまず会員登録がおすすめです。

Webシステム開発・プログラミングに関連した他の仕事を探す

ソフトウェア・業務システム開発 Excelマクロ作成・VBA開発ゲーム制作・開発サーバー・ネットワーク構築データベース設計・構築プロジェクトマネジメントその他 (システム開発) 株・FX・仮想通貨ツール開発スクレイピング・データ収集コード・バグ修正

見積もり募集の結果

募集期間

2日間

提案数

5件

当選人数

1 件

(募集人数1人)

実際の発注内容

依頼の予算

5,000 円 ~ 10,000 円

実際の支払い金額

5,000 円 ~ 6,000 円

製作期間

3日

発注者の声

他の方のご提案・お申し出も大変勉強になりありがたいものでした。今回は予算的にも大変助かりました。また迅速なご対応誠にありがとうござました。内容としては申し分ありませんでした。

この案件の内容を参考に募集する

見積もり募集の内容

依頼主の業種: IT・通信・インターネット

依頼の目的・背景: 弊社運営サイト（ほぼ簡単な４０pくらいの静的サイト）でいわゆる一般的な脆弱性診断を行いました。

サーチフォームで、クロスサイトスクリプティングで、高リスク判定、が出たので対応対策をお願いしたいです。

ーー
以下、レポートからのコピペです。

・全部が全部対応する必要はないです
・ここぞという、クリティカルなポイントを直していただければ助かります

ご応募、お待ちしてます。
よろしくおねがいします。
ーーー

フェーズ：アーキテクチャと設計同脆弱性を引き起こさせない、あるいは容易に回避可能な精査されたライブラリ、あるいはフレームワークを使用してください。適切にエンコードされた出力の生成を容易にするライブラリとフレームワークの例には、MicrosoftのAnti-XSSライブラリ、OWASP ESAPIエンコーディングモジュール、およびApacheWicketが含まれます。フェーズ：実装;アーキテクチャと設計データが使用されるコンテキストと予想されるエンコーディングを理解します。これは、異なるコンポーネント間でデータを送信する場合、またはWebページやマルチパートメールメッセージなど、同時に複数のエンコーディングを含むことができる出力を生成する場合に特に重要です。予想されるすべての通信プロトコルとデータ表現を調べて、必要なエンコーディング戦略を決定します。別のWebページに出力されるデータ、特に外部入力から受信したデータについては、英数字以外のすべての文字に適切なエンコードを使用してください。必要なエンコードとエスケープの種類の詳細については、XSS防止に関するチートシートを参照してください。フェーズ：アーキテクチャと設計クライアント側で実行されるセキュリティチェックについては、CWE-602を回避するために、これらのチェックがサーバー側で複製されていることを確認してください。攻撃者は、チェックの実行後に値を変更するか、クライアントを変更してクライアント側のチェックを完全に削除することにより、クライアント側のチェックをバイパスできます。次に、これらの変更された値がサーバーに送信されます。可能な場合は、データとコードの分離を自動的に強制する構造化されたメカニズムを使用します。これらのメカニズムは、出力が生成されるすべてのポイントでこの機能を提供する開発者に依存する代わりに、関連する引用、エンコード、および検証を自動的に提供できる場合があります。フェーズ：実装生成されるすべてのWebページに対して、ISO-8859-1やUTF-8などの文字エンコードを使用および指定します。エンコーディングが指定されていない場合、Webブラウザは、Webページで実際に使用されているエンコーディングを推測して別のエンコーディングを選択する場合があります。これにより、Webブラウザが特定のシーケンスを特別なものとして扱い、クライアントを微妙なXSS攻撃にさらす可能性があります。エンコード/エスケープに関連するそのに対するXSS攻撃を軽減するには、セッションCookieをHttpOnlyに設定します。HttpOnly機能をサポートするブラウザー（最新バージョンのInternet ExplorerやFirefoxなど）では、この属性により、document.cookieを使用する悪意のあるクライアント側スクリプトがユーザーのセッションCookieにアクセスできないようにすることができます。HttpOnlyはすべてのブラウザでサポートされているわけではないため、これは完全なソリューションではありません。さらに重要なことに、XMLHTTPRequestおよびその他の強力なブラウザーテクノロジーは、HttpOnlyフラグが設定されているSet-Cookieヘッダーを含むHTTPヘッダーへの読み取りアクセスを提供します。すべての入力が悪意があると想定します。「既知の良好なものを受け入れる」入力検証戦略を使用します。つまり、仕様に厳密に準拠する受け入れ可能な入力のホワイトリストを使用します。仕様に厳密に準拠していない入力を拒否するか、準拠するものに変換します。悪意のある入力や不正な入力の検索だけに依存しないでください（つまり、ブラックリストに依存しないでください）。ただし、ブラックリストは、潜在的な攻撃を検出したり、どの入力が非常に不正であるために完全に拒否する必要があるかを判断するのに役立ちます。入力検証を実行するときは、長さ、入力のタイプ、許容値の全範囲、欠落または追加の入力、構文、関連フィールド間の一貫性、ビジネスルールへの準拠など、関連する可能性のあるすべてのプロパティを考慮してください。ビジネスルールロ

サイトの種類: その他

作業範囲

フロントエンド開発

用意してあるもの

設定なし

参考URL: 設定なし

希望開発言語: ランサーに相談して決めたい

フレームワーク: ランサーに相談して決めたい

開発の継続性: この開発の後も、継続的に依頼したいと思っております。

補足説明: 設定なし