非公開の予定が見えちゃってるね! Webアプリの「認可制御」に潜む“あるある”ワナ:“典型的やられサイト”で学ぶセキュリティのワナ(1/3 ページ)
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。
ネット上で商売するのが当たり前な時代。自社でWebサイトやWebアプリを抱える企業も相当な数になっている。そこでインシデントが発生すれば信用、ブランド、収益……失うものは計り知れない。
本連載では情報セキュリティの専門家・徳丸浩さんが制作した脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。
登場人物は全て架空の存在だが、ワナは全て現実にあり得るもの。せりふは徳丸さんの監修の下制作した。
特集:Webコンテンツの守り方 情報漏えい対策術
経営や企業イメージに大きな打撃を与える情報漏えい。近年ではWebサイトの改ざんやデータベースを狙った攻撃により情報を盗み出す事案が話題になっている。本特集では情報漏えいを引き起こすサイバー攻撃と、WAFによる対策について解説する。
- カクーノ株式会社:Webアプリ開発を手掛ける企業。本記事に登場する企業・団体及び人物は全て架空の存在である。
- 荒井考人(あらいこうと):入社したばかりの新人プログラマー。基本的なプログラミングスキルはあるが、情報セキュリティに関する知識が豊富とはいえず、荒いコードを書きがち。今は研修でWebアプリToDoリストを作っている。
- 上野司(うえのつかさ):荒井考人の上司。指導役として荒井のコードにツッコミを入れてくれる。
──ある日
上野 荒井君お疲れ〜〜。前回は会員登録機能の実装をやったけど、どう? ついてこれてるかな。
荒井 お疲れさまです!そうですね。実装中も調べながらなんで大変ですけど、それはそれで楽しいです。発生するかもしれない問題を考えるのってちょっとした推理ゲームですよね。
上野 そんな抜け道あるか〜〜ってちょっと笑っちゃうところあるよね。で、今日は認可・権限管理の部分を作っていこうかなって思ってるんだ。
荒井 でも前回パスワード周りは作りましたよね?
上野 パスワードは「認証」で、今回のは「認可」だね。認証は「そのユーザー本人かどうかを確認すること」、認可は「ユーザーに権限を与えること」だから結構別物だよ。今作っているアプリにはさまざまな機能があるけど、今回はどんなユーザーにどんな権限を与えるか定めた仕様書を見ながら、それに沿った権限管理の仕組みを作ってほしいんだ。
荒井 分かりました! 作ってみますね。
──しばらくして……
荒井 上野さんできましたーー。 確認お願いします。
上野 じゃあ確認してみようね。
上野 相変わらず一人で一通り機能を実装できるのすごいね。
荒井 ありがとうございます。成績は結構よかったんですよね。
上野 じゃあチェックしていこうか。まずは誰にどんな権限を設定することになっていたかを確認しよう。
関連記事
- え? 同じIDで登録できる? コンビニ証明書で話題「同時処理」の危険性
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。 - “そうはならんやろコード”はなぜ生まれるのか セキュリティ専門家・徳丸氏に聞く「脆弱性だらけのWebアプリ」の背景
情報セキュリティ事案のニュースには読者から「そうはならないだろう」「それはダメだろう」という“ツッコミ”が入ることが多い。しかし、情報セキュリティの専門家・徳丸浩さんは「『これが現実なんですよ』と伝えることが大事」と語る。 - 新人の作ったWebアプリが穴だらけ!? ログイン画面に潜むセキュリティの”あるある”ワナ
新人の作ったWebアプリが穴だらけ!? “典型的やられサイト”で学ぶセキュリティのワナ - 情報セキュリティ企業が“脆弱性だらけのWebアプリ”無償公開 実習用の題材に
EGセキュアソリューションズが、Webアプリケーションの脆弱性について学べる実習用アプリケーション「BadTodo」を無償公開した。同アプリは多くの脆弱性を含んでおり、実際に攻撃したりソースコードを確認して実践的に学習できる。
Copyright © ITmedia, Inc. All Rights Reserved.