え? PHPファイルを登録できるのはまずいでしょ…… Webアプリの「アップロード機能」に潜む“あるある”ワナ:“典型的やられサイト”で学ぶセキュリティのワナ(2/3 ページ)
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。
上野 まずはアップロードできるファイルの種類をチェックしてみよう。
荒井 はい。今回は予定にテキストや画像などのファイルを添付できるようにしています。
上野 うん。どんな形式のファイルが求められているか考えるのは重要だね。一方で、便利だからといってどんな形式のファイルでもアップロードできるようになっているとさすがに危険かな。
上野 例えばこの「info.php」という名前のファイルをアップロードしてみよう。PHPファイルの添付は禁止されていないので当然そのまま投稿できる。
荒井 あ……。
上野 なんとなく分かってきたかな? アップロードできたら、登録した予定のページから添付ファイル「info.php」を開くと……。PHPファイル内のコマンドが実行されてしまう。
上野 今回はPHPの設定を表示する「phpinfo」コマンドのみ記載していたから設定が表示されるだけで済んだ。でも、要するにサーバでプログラムが動いているわけだから、悪意のあるプログラムを使った遠隔操作などの攻撃を受ける可能性もある。
荒井 これは……大変ですね。
上野 うん。他の手口もたくさん考えられるから、こういう機能を作るときは、アップロードする必要のあるファイル形式を洗い出して、それ以外は登録できないようにするのがいいね。今なら画像ファイル(PNG、JPEGなど)やPDFファイルくらいに絞っておくのがいいかな。
荒井 分かりました。
関連記事
- え? 同じIDで登録できる? コンビニ証明書で話題「同時処理」の危険性
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。 - “そうはならんやろコード”はなぜ生まれるのか セキュリティ専門家・徳丸氏に聞く「脆弱性だらけのWebアプリ」の背景
情報セキュリティ事案のニュースには読者から「そうはならないだろう」「それはダメだろう」という“ツッコミ”が入ることが多い。しかし、情報セキュリティの専門家・徳丸浩さんは「『これが現実なんですよ』と伝えることが大事」と語る。 - 新人の作ったWebアプリが穴だらけ!? ログイン画面に潜むセキュリティの”あるある”ワナ
新人の作ったWebアプリが穴だらけ!? “典型的やられサイト”で学ぶセキュリティのワナ - 情報セキュリティ企業が“脆弱性だらけのWebアプリ”無償公開 実習用の題材に
EGセキュアソリューションズが、Webアプリケーションの脆弱性について学べる実習用アプリケーション「BadTodo」を無償公開した。同アプリは多くの脆弱性を含んでおり、実際に攻撃したりソースコードを確認して実践的に学習できる。 - 非公開の予定が見えちゃってるね! Webアプリの「認可制御」に潜む“あるある”ワナ
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。
Copyright © ITmedia, Inc. All Rights Reserved.