新人の作ったWebアプリが穴だらけ!? ログイン画面に潜むセキュリティの”あるある”ワナ:“典型的やられサイト”で学ぶセキュリティのワナ(1/3 ページ)
EGセキュアソリューションズ取締役CTOの徳丸浩さんネット上で商売するのが当たり前な時代。自社でWebサイトやWebアプリを抱える企業も相当な数になっている。そこでインシデントが発生すれば信用、ブランド、収益……失うものは計り知れない。
本連載では情報セキュリティの専門家・徳丸浩さんが制作した脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。
登場人物は全て架空の存在だが、ワナは全て現実にあり得るもの。せりふは徳丸さんの監修の下制作した。
特集:Webコンテンツの守り方 情報漏えい対策術
経営や企業イメージに大きな打撃を与える情報漏えい。近年ではWebサイトの改ざんやデータベースを狙った攻撃により情報を盗み出す事案が話題になっている。本特集では情報漏えいを引き起こすサイバー攻撃と、WAFによる対策について解説する。
- カクーノ株式会社:Webアプリ開発を手掛ける企業。本記事に登場する企業・団体及び人物は全て架空の存在である。
- 荒井考人(あらいこうと):入社したばかりの新人プログラマー。基本的なプログラミングスキルはあるが、情報セキュリティに関する知識は豊富とはいえず、荒いコードを書きがち。今は研修でWebアプリ「ToDoリスト」を作っている。
- 上野司(うえのつかさ):荒井考人の上司。指導役として荒井のコードにツッコミを入れてくれる。荒井が研修でWebアプリを構築するに当たり、データベース周辺など前提の部分はすでに組んでいる。
──ある日
上野 荒井君! 今日から早速実践的な研修ということで、アプリを作ってもらおうと思うんだけどできそうかな?
荒井 上野さん、お疲れさまです。大丈夫です。作るのは「ToDoリスト」のWebアプリですよね。まずはどの部分から実装すればいいですか?
上野 まずは基本的なログイン機能の部分だから、そんなに難しくはないと思うんだ。仕様はまとめてあるから、資料を読みながらひとまずコード書いてみて! 分からないところがあれば雑に声かけてくれていいからね。
荒井 分かりました! やってみます。
(ログインフォームを組み立てればいいんだよね。必要な要素は、UIの方はID・パスワード入力欄、ログインボタン、ログイン状態保持機能と、新規登録。パスワード再設定画面への誘導か。機能面はID・パスワードの照合機能だよね……)
荒井 じゃあ組んでいこう!
──しばらくして……
荒井 上野さん! 今大丈夫ですか? ログインフォームができたので確認お願いしようかなと……。サンプルのIDとパスワードもいくつか入れておきました。
上野 あ、できた? じゃあコード見てみようか。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR
ITmediaはアイティメディア株式会社の登録商標です。