2009年11月16日 08時00分 UPDATE
特集/連載

脆弱性が悪用される前にWebアプリの入力検証不備──4つの実例とその対策

Webアプリケーションの入力検証に不備があると、セキュリティ上の深刻な弱点になる恐れがある。しかもこうした不備は、問題が起こるまで気付かれないことが多いものだ。

[Kevin Beaver,TechTarget]

 Webアプリケーションの入力検証に不備があると、セキュリティ上の深刻な弱点になる恐れがある。しかし、こうした不備は、得てして問題が起こるまで気付かれない。本稿では、わたしがWebアプリケーションのセキュリティ評価を行った際に見つかった入力検証の不備の例を幾つか紹介しよう。

ログインIDが含まれたURL

 これまでで最も興味深い入力検証の問題を見つけたのは、自分のさまざまな機密情報を保存していたWebサイトだった。ある日、そのサイトを眺めていて、自分専用のログインIDがURLに含まれていることに気付いた。これはWebサイトの最も基本的な、しかし危険な欠陥の1つだ。わたしは「彼らは分かっていないに違いない」と考えた。そこでサイトの管理者に電話で連絡を取り、問題を報告した。彼女は最初は平然としていた。彼女の態度が変わったのは、彼女がそのシステムの自分専用のIDをわたしに教えた後で、わたしが彼女の住所、誕生日、子どもたちの社会保障番号などの個人情報を次々に挙げてからだ。沈黙の後、彼女は「どうして分かったんですか」と尋ねてきた。わたしは、とても簡単なことだと話し、システムのどのユーザーも、アプリケーションへの入力を操作するだけで、ほかのユーザーの機密情報を見ることができる状態になっていることを説明した。彼女はあぜんとしたが、問題が悪用される前に見つかって感謝していると話した。「悪用される前」であったと願いたいものだ。

教訓

 ユーザーセッションを追跡し、ユーザーの再認証を経なければ、変数を変更するだけの入力操作を許さないこと。もっと良いのは、システム変数をURLに一切入れないことだ。

関連ホワイトペーパー

SQL | XSS | 機密情報 | 脆弱性 | Webアプリケーション | Apache


この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news147.jpg

マイクロアド関連会社、上海発の訪日クルーズ船内で日本の商品を販促
マイクロアド・インバウンド・マーケティングは中国の訪日クルーズ船と提携し、上海から...

news136.jpg

「KANADE DSP」が機械学習を活用してコンバージョン獲得コストの自動最適化機能を強化
京セラコミュニケーションシステムは「KANADE DSP」において、コンバージョン獲得コスト...

news131.jpg

日本のマーケターはプログラマティックとソーシャルに積極的、AdRollが調査
AdRoll日本法人は、日本のプログラマティック(運用型広告/データに基づくリアルタイム...