対策できてる？ Webアプリの「アップロード機能」に潜む、見落としがちなワナの数々：“典型的やられサイト”で学ぶセキュリティのワナ（2/2 ページ）

ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。

[吉川大貴，ITmedia]

アップしたファイルの公開設定は大丈夫？

上野　ついでに、もう一つ問題点を指摘しておこうか。アップロードできるファイルの種類はもう制限してもらったと思うけど、その公開設定はどうなっているかな？

荒井　えーと、ToDoは公開設定にしていないので、ログインしないと見られないのではと。

上野　そうかな？　URLをコピーして、別のブラウザで見てみよう。

荒井　あ……見えちゃいますね。

上野　そう。今の仕様だと、ログインしないとファイルの存在が確認できないだけで、ファイルが見られないようにしているわけではないよね。きちんとアクセスを制御しよう。

荒井　なるほど。アップロードやその関連機能は注意点が多いこと、改めて理解しました。今回で終わりですよね？　僕も一人前かな？

上野　そうだね……と言いたいところだけど、ごめん、もう一つだけ、キャッシュの部分をやっておこう。結構引っかかりがちだから、触っておいて損はないよ。

荒井　分かりました。もう一回ですね。次回もよろしくお願いいたします。

クロスサイトスクリプティング＝cookie……だけではない

　「クロスサイトスクリプティングといえば『あ、cookie盗むんでしょ』という人が多いが、それは本題ではない。BadTodoにはメールアドレスやToDoくらいしかないが、それでも見えてはいけないものが見られてしまう。このように、秘密の情報を盗まれたり、不正な操作をされたりするのがクロスサイトスクリプティングの注意点」と徳丸さん。

　例としてcookieを閲覧するケースが多いだけで、クロスサイトスクリプティングの被害はそれだけでおさまるとは限らない。最近では鹿児島県志布志市のふるさと納税サイトなどが、クロスサイトスクリプティングとみられる攻撃によって不正なプログラムを埋め込まれ、クレジットカード情報を盗みだされた可能性があると発表していた。

　公開設定の見落としも、よくあるセキュリティインシデントだ。同様の被害を避けるためにも、アップロードやそれに関連する機能の仕様には注意が必要だろう。