対策できてる? Webアプリの「アップロード機能」に潜む、見落としがちなワナの数々:“典型的やられサイト”で学ぶセキュリティのワナ(2/2 ページ)
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。
アップしたファイルの公開設定は大丈夫?
上野 ついでに、もう一つ問題点を指摘しておこうか。アップロードできるファイルの種類はもう制限してもらったと思うけど、その公開設定はどうなっているかな?
荒井 えーと、ToDoは公開設定にしていないので、ログインしないと見られないのではと。
上野 そうかな? URLをコピーして、別のブラウザで見てみよう。
荒井 あ……見えちゃいますね。
上野 そう。今の仕様だと、ログインしないとファイルの存在が確認できないだけで、ファイルが見られないようにしているわけではないよね。きちんとアクセスを制御しよう。
荒井 なるほど。アップロードやその関連機能は注意点が多いこと、改めて理解しました。今回で終わりですよね? 僕も一人前かな?
上野 そうだね……と言いたいところだけど、ごめん、もう一つだけ、キャッシュの部分をやっておこう。結構引っかかりがちだから、触っておいて損はないよ。
荒井 分かりました。もう一回ですね。次回もよろしくお願いいたします。
クロスサイトスクリプティング=cookie……だけではない
「クロスサイトスクリプティングといえば『あ、cookie盗むんでしょ』という人が多いが、それは本題ではない。BadTodoにはメールアドレスやToDoくらいしかないが、それでも見えてはいけないものが見られてしまう。このように、秘密の情報を盗まれたり、不正な操作をされたりするのがクロスサイトスクリプティングの注意点」と徳丸さん。
例としてcookieを閲覧するケースが多いだけで、クロスサイトスクリプティングの被害はそれだけでおさまるとは限らない。最近では鹿児島県志布志市のふるさと納税サイトなどが、クロスサイトスクリプティングとみられる攻撃によって不正なプログラムを埋め込まれ、クレジットカード情報を盗みだされた可能性があると発表していた。
公開設定の見落としも、よくあるセキュリティインシデントだ。同様の被害を避けるためにも、アップロードやそれに関連する機能の仕様には注意が必要だろう。
関連記事
- え? PHPファイルを登録できるのはまずいでしょ…… Webアプリの「アップロード機能」に潜む“あるある”ワナ
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。 - 非公開の予定が見えちゃってるね! Webアプリの「認可制御」に潜む“あるある”ワナ
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。 - 情報セキュリティ企業が“脆弱性だらけのWebアプリ”無償公開 実習用の題材に
EGセキュアソリューションズが、Webアプリケーションの脆弱性について学べる実習用アプリケーション「BadTodo」を無償公開した。同アプリは多くの脆弱性を含んでおり、実際に攻撃したりソースコードを確認して実践的に学習できる。 - “そうはならんやろコード”はなぜ生まれるのか セキュリティ専門家・徳丸氏に聞く「脆弱性だらけのWebアプリ」の背景
情報セキュリティ事案のニュースには読者から「そうはならないだろう」「それはダメだろう」という“ツッコミ”が入ることが多い。しかし、情報セキュリティの専門家・徳丸浩さんは「『これが現実なんですよ』と伝えることが大事」と語る。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.