インプレス ビジネスメディア

第3回:パラメータからの情報流出 (1/4)

TOP設計・移行・活用> はじめに
脆弱なWebアプリケーション
脆弱なWebアプリケーション

第3回:パラメータからの情報流出
 著者:セントラル・コンピュータ・サービス  長谷川 武
2005/5/11
1   2  3  4  次のページ
はじめに

   これまで、Webアプリケーションの脆弱性は大きく5つのカテゴリーに分けられることを説明し、第2回では第1のカテゴリー「ファイル流出」を紹介した。今回はカテゴリーの2番目「パラメータからの情報流出」を解説する。
※注意: この記事にはWebアプリケーションの脆弱性を解説する必要上、攻撃手口に関する情報が含まれています。これらの手口を他者が運営するWebサイトに向けて仕掛けると、最悪の場合刑事罰および損害賠償請求の対象となります。脆弱性の調査・検証は、必ずご自身の管理下のコンピュータシステムおよびローカルエリアネットワークで行ってください。この記事を参考にした行為により問題が生じても、筆者およびThinkIT編集局は一切責任を負いません。


パラメータからの情報流出

   「パラメータからの情報流出」とは、あるページから次のページへと場面を切り替える際に受け渡されるパラメータがもとで、別人の個人情報が読み出されるなどの問題が起こる脆弱性のカテゴリーである。「情報流出」と名づけてはいるが、ショッピングサイトでパラメータがいじられ不当な安値で買い物されてしまうような改ざん系の問題もこのカテゴリーに含まれる。

ページ間パラメータ
図1:ページ間パラメータ
   WebページとWebページの間でパラメータを受け渡す方法には大きく3つある。それはクエリーストリングhiddenフィールドHTTP Cookieだ。これらはどれも情報流出と改ざんを招く危険な存在である。順に見ていこう。
クエリーストリング

   クエリーストリングとは、Webページを呼び出すURLの中のパラメータの部分を指す。例えば次のようなURLがあったとする。

http://domain/path/program.cgi?type=A&size=7

   この中の「?」記号よりも後ろの部分、「type=A&size=7」がクエリーストリングだ。クエリーストリングという呼び名は「検索文字列」を意味し、かつては検索キーワードなどをプログラムのパスの後ろに置いていたところからこの名がついた。今ではここに汎用的なパラメータを配置する。どのような形式でパラメータを記述するかは本来自由なのだが、「名前=値」の対の形で表されたパラメータを「&」記号で区切って並べることがおおむね慣習になっている。
クエリーストリングは丸見えで改ざんも容易

   人間は目で見たものには好奇心を持ち、それをいじってみたくなるものである。クエリーストリングはその格好の対象となる。ページ間のハイパーリンクのURLの内容は、ユーザがブラウザで視認できるだけでなく、簡単に一部を変更することができるからだ。

   Webページのハイパーリンクをクリックして次のページへ遷移すると、新しいページの呼び出しに使われたURLはWebブラウザのアドレスバーに表示される。長過ぎて欄からはみ出してしまうこともあるが、われわれはプログラムのパス名とそれに付随するパラメータを視認しながらWebページを歩き回っているのが日常である。

   そして、中には「切れている」リンクにも出会う。ページが消されたのではなくリンクの記述のほうが誤っている場合などに、ブラウザのアドレスバーのURLを直して目的のページにたどり着いた経験をお持ちの方も多いはずだ。これは善意にもとづいてリンクを修復した例だが、悪意を持ってページ間パラメータに干渉しようとする人物もいるので問題が起きる。

   例えば、ユーザが最近行ったショッピングの明細を確認するページへのハイパーリンクのURLが次のような形をしていたとする。

https://domain/shopping_detail?userid=hasegawa&item=32

   これは、現在のユーザ「hasegawa」が行ったショッピングの32件目の明細を表示するものだとしよう。このURLのパラメータの使い方の見当がつけば、次のようなURLをブラウザから次々と投入して、それ以前に行ったショッピングについても、31件目、30件目、29件目…のように呼び出すことができるだろう。

https://domain/shopping_detail?userid=hasegawa&item=31
https://domain/shopping_detail?userid=hasegawa&item=30
https://domain/shopping_detail?userid=hasegawa&item=29

   自分の過去のショッピング明細を呼び出す分にはさほど問題はないが、「userid=」のほうのパラメータを書き換えられることも気がつくだろう。

https://domain/shopping_detail?userid=tanaka&item=1
https://domain/shopping_detail?userid=suzuki&item=1
https://domain/shopping_detail?userid=koizumi&item=1

   上記のように試していくと、他人の買物履歴の覗き見に成功するかもしれない。そうなると大問題だ。
1   2  3  4  次のページ

セントラル・コンピュータ・サービス株式会社
 著者プロフィール
セントラル・コンピュータ・サービス株式会社  長谷川 武
シニア・セキュリティ・スペシャリスト、IPA 非常勤研究員。2002年にはIPA ISEC『セキュア・プログラミング講座』の制作ディレクターをつとめた。これを契機に、現在は勤務先とそのパートナー企業を通じてセキュアプログラミングセミナー/実習/スキル評価テストといった教育サービスを「TRUSNET(R)アカデミー」として提供している。問い合わせE-mail:info@trusnet.com
INDEX
第3回:パラメータからの情報流出
はじめに
  システム全体に渡る連番
  hiddenフィールド
  HTTP Cookie
脆弱なWebアプリケーション
第1回 Webアプリケーションの脆弱性
第2回 ファイル流出
第3回 パラメータからの情報流出
第4回 セッション乗っ取り
第5回 インジェクション攻撃
第6回 各種の問題

新着記事

位置情報の基本中の基本となる「点」の情報の扱い方を学ぼう 6:30 Kubernetesコミュニティのグループ構成と活動領域の見つけ方 6:30 AIには別の顔を見せるWebサイト: エージェントを狙う間接プロンプトインジェクション 12月4日 6:30 【CNDW2025】なぜCloudNative DevSecOpsを推進するのか? 米軍の事例が示す「速度と安全性」の必然 12月4日 6:00 【序論】なぜ今、監視は「再発見」されるのか 12月3日 6:30

人気記事トップ10

外部から「WSL1/2」のサーバーにネットワークアクセスをしてみよう AI搭載のスマートグラス「Even G2」が国内発売ほか 日本初開催の「KubeCon+CloudNativeCon Japan 2025」、ボランティア視点で運営の裏側をちょっとのぞいてみた話 新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? オープンソースの電子書籍管理ソフト「Calibre 8.15」リリース メガネ型オーディオが特別セール実施中、Metaが新モデル群を公開ほか 「Rocky Linux 10.1」リリース IoTに生成AIを掛け合わせる「AI-driven IoT」で現場のIoTデータ活用を加速 米Red Hat、「Red Hat Enterprise Linux 9.7」を発表 AI時代のエンジニアに求められるものとは?「生き残る」ためのキャリア戦略
AI搭載のスマートグラス「Even G2」が国内発売ほか 外部から「WSL1/2」のサーバーにネットワークアクセスをしてみよう 新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? Linux Foundation Education、無料オンラインコース「Linuxカーネル開発 初心者向けガイド」の提供を開始 【ビジョンなき導入の末路】データが暴く日本企業の課題と次の一手 【序論】なぜ今、監視は「再発見」されるのか 「AIを導く」のはオープンソース ー実証に基づいた明確な解を示したレポート「ソブリンAIの現状」を公開 Linuxカーネル「Linux 6.18」リリース メガネ型オーディオが特別セール実施中、Metaが新モデル群を公開ほか 日本初開催の「KubeCon+CloudNativeCon Japan 2025」、ボランティア視点で運営の裏側をちょっとのぞいてみた話
AI搭載のスマートグラス「Even G2」が国内発売ほか 外部から「WSL1/2」のサーバーにネットワークアクセスをしてみよう 新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? Linux Foundation Education、無料オンラインコース「Linuxカーネル開発 初心者向けガイド」の提供を開始 【ビジョンなき導入の末路】データが暴く日本企業の課題と次の一手 アイレット、KDDIの属人化問題を生成AIアシスタントの精度を高め解消へ 世界中の「欲しい」を10秒で叶える ─株式会社SAZOが描く越境ECの新時代 「Terraform」でコードをモジュール化して、環境を分離することで適切に管理しよう IoTに生成AIを掛け合わせる「AI-driven IoT」で現場のIoTデータ活用を加速 【序論】なぜ今、監視は「再発見」されるのか
人気記事ランキングをもっと見る

企画広告も役立つ情報バッチリ! Sponsored

新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? 11月28日 6:30 IoTに生成AIを掛け合わせる「AI-driven IoT」で現場のIoTデータ活用を加速 11月26日 6:30 アイレット、KDDIの属人化問題を生成AIアシスタントの精度を高め解消へ 11月21日 6:30 「Grafana Cloud」の先進的ユーザーであるグリーが10年をかけて到達した「オブザーバービリティ」とは 5月15日 6:30 Grafana Labs CTOのTom Wilkie氏インタビュー。スクラップアンドビルドから産まれた「トラブルシューティングの民主化」とは 4月21日 6:30 API管理をより簡単にする「Kong Konnect」が解決する課題とその主要機能 3月5日 5:30 目指すはプロセス連結によるサイロ化の打破! ガバナンス強化にも寄与する自動化プラットフォームとは 1月15日 6:30 AIで激変する「DevOpsの未来」と「IT組織のリーダーが備えるべきこと」とは 2024年11月26日 8:53 仕様書からテストケースを自動生成! Autify Genesisが変えるソフトウェアテストの未来 2024年11月21日 8:04 LLMを自由に切り替え! Kongが提案するAIゲートウェイ活用法 2024年11月15日 6:12