 |
|
|
| 前のページ 1 2 3 4
|
|
| その他の話題
|
「各種の問題」カテゴリーには、偽ページと迷惑メール以外にも次のような問題がある。
- 親切すぎるエラーメッセージ
- WebアプリケーションやWebサーバが出すエラーメッセージが詳細なデバッグ情報を表示し、システムの内部構造に関するヒントを攻撃者に与えてしまう問題。
- 予定外ナビゲーション
- ユーザのリロード操作、ヒストリの「戻る」操作、ブックマークからの直接呼び出しなど、Webサイト主催者が予定していない順序でページへのアクセスが起こった際、プログラム側に不手際があり情報漏えいなどが起こる問題。
- クライアント検査依存
- ユーザ入力データの検査をきめ細かな対応が可能なクライアント側のJavaScriptのみに頼り、サーバ側での検査ロジックが欠けていると、JavaScriptの処理を迂回してサーバを攻撃できてしまう問題。
- バッファオーバーフロー
- Webアプリケーションの内部で呼び出して使用しているソフトウェアにバッファオーバーフロー脆弱性があり、それをインターネットから攻撃される問題。
また、Webアプリケーションそのものの脆弱性ではないが、Webサイトのセキュリティ対策を講じる際は次の問題も想定しておく必要がある。
- Webサーバソフトの脆弱性
- 使用しているWebサーバソフトウェア、アプリケーションエンジンソフトウェアに、既知の脆弱性が未対策のまま残っている問題。
- OSの脆弱性
- WebサーバマシンのOSやネットワーク機能に、既知の脆弱性が残っている問題。
|
| 脆弱性カテゴリーの総括
|
連載の最後に、これまで解説してきた5つの脆弱性カテゴリーについて振り返っておこう。5つのカテゴリーの概念上の位置関係は図5のようになる。
図5:カテゴリーの総括
右側の「インジェクション攻撃」は、部外者が入力データを通じてWebサーバ内部のプログラムロジックに侵入する問題である。Webアプリケーションに限らず、この問題はシステムの背後でデータベースやシェルを使っているあらゆるソフトウェアで起こり得る問題だ。
左側の「各種の問題」は、現時点では以上4つのカテゴリーに分類しきれなかった諸問題である。主要なものは、偽ページや迷惑メールなど「外見」に関わるものである。
|
| まとめ
|
この連載ではWebアプリケーションに生じ得るさまざまな脆弱性を5つのカテゴリーに分けて解説させていただいた。読者の皆様のセキュアなWebサイトの企画・開発・運営のお役に立つことができれば幸いである。
|
前のページ 1 2 3 4
|
|
|
|
|
著者プロフィール
セントラル・コンピュータ・サービス株式会社 長谷川 武
シニア・セキュリティ・スペシャリスト、IPA 非常勤研究員。2002年にはIPA ISEC『セキュア・プログラミング講座』の制作ディレクターをつとめた。これを契機に、現在は勤務先とそのパートナー企業を通じてセキュアプログラミングセミナー/実習/スキル評価テストといった教育サービスを「TRUSNET(R)アカデミー」として提供している。問い合わせE-mail:info@trusnet.com。
|
|
|
|
|
|
