非公開の予定が見えちゃってるね! Webアプリの「認可制御」に潜む“あるある”ワナ:“典型的やられサイト”で学ぶセキュリティのワナ(3/3 ページ)
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。
ホントにこんな初歩的なミスあるの? 「割とよくあります」
今回見た認可制御はプログラミングに詳しくなくても分かる単純な見落としだった。しかし、徳丸さんによればこれもよくあるという。
「冒頭の一番単純なものが結構多いってのが実態でして、昔からよく知られてるんですけど一向に減る気配がなくて。あまりにも単純なので、こんなことあるのかって思う人も結構いると思うんですが、これが割とよくあります。社名は出せませんが著名なネット企業でも場合によってはあって、脆弱性診断をしているときに見つけると『またあったか』くらいの感じになりますね」(徳丸さん)
なお、途中で出てきた悪意の有無による違いだが、これは法によって悪意が犯罪の成立要件に入っているものと入っていないものがある。企業によっては稀に「脆弱性を見つけて報告してくれれば報奨金をプレゼント」というキャンペーンを実施することがあるが、これもなんでもありというわけではなく、キャンペーンの規約の中に許可の範囲が規定されており、それに従わないと犯罪になることもあるという。
今回題材にしているBadTodoには他にもさまざまな脆弱性が隠されている。例えば、同アプリには登録情報の変更機能があるのだが、この変更画面に「管理者権限」というチェック項目がある。一般ユーザーとしてログインしている場合はこのチェックを押せないようになっているのだが、HTMLを少し書き換えるとこれを押せるようになっている。これを悪用すれば管理者に権限昇格できる。
現実的に考えると不自然な実装だが、これは教育ツールとして多少わざとらしく表示しているもの。BadTodoを使ってこういった脆弱性を探してみよう。実際に稼働しているサービスで試すと前述のとおり犯罪になる場合もあるため、BadTodoで試すのがおすすめだ。
関連記事
- え? 同じIDで登録できる? コンビニ証明書で話題「同時処理」の危険性
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。 - “そうはならんやろコード”はなぜ生まれるのか セキュリティ専門家・徳丸氏に聞く「脆弱性だらけのWebアプリ」の背景
情報セキュリティ事案のニュースには読者から「そうはならないだろう」「それはダメだろう」という“ツッコミ”が入ることが多い。しかし、情報セキュリティの専門家・徳丸浩さんは「『これが現実なんですよ』と伝えることが大事」と語る。 - 新人の作ったWebアプリが穴だらけ!? ログイン画面に潜むセキュリティの”あるある”ワナ
新人の作ったWebアプリが穴だらけ!? “典型的やられサイト”で学ぶセキュリティのワナ - 情報セキュリティ企業が“脆弱性だらけのWebアプリ”無償公開 実習用の題材に
EGセキュアソリューションズが、Webアプリケーションの脆弱性について学べる実習用アプリケーション「BadTodo」を無償公開した。同アプリは多くの脆弱性を含んでおり、実際に攻撃したりソースコードを確認して実践的に学習できる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.