Webアプリの7割にXSSの脆弱性、情報流出につながる恐れも

Webアプリケーションのセキュリティ診断では全体の68％にクロスサイトスクリプティング（XSS）の脆弱性が、32％にSQLインジェクションの脆弱性が見つかった。

[鈴木聖子，ITmedia]

　セキュリティ診断サービスを手掛ける米Veracodeは12月7日、アプリケーションのセキュリティ診断に関する報告書をまとめ、Webアプリケーションの多くにクロスサイトスクリプティング（XSS）やSQLインジェクションの脆弱性が見つかったと報告した。

　この調査では、同社が提供しているクラウドベースのアプリケーションセキュリティ診断プラットフォームに過去1年半の間に提出された9910本のアプリケーションについて、診断の結果をまとめた。

　診断基準では、攻撃に悪用されることの多いXSSとSQLインジェクションの脆弱性については一切容認しないポリシーを新たに導入。その結果、10本のアプリケーションのうち8本が、セキュリティ基準を満たしていないと判定された。

　特にWebアプリケーションは全体の68％にXSSの脆弱性が、32％にSQLインジェクションの脆弱性が見つかった。こうした脆弱性は顧客情報や知的財産といった情報を盗み出す目的で悪用されることも多いと同社は警告する。

　また、今回初めて実施したAndroidアプリケーションの調査では、全体の40％強にハードコーディングされた暗号鍵利用の問題が見つかったと伝えている。