トップ 差分 一覧 ソース 検索 ヘルプ PDF RSS ログイン

Webの脆弱性

目次

Heartbleed(CVE-2014-0160)

2014年4月ゴロに判明。

SSLを利用したサイトでサーバ側のメモリダンプが行える脆弱性がある。2年ほど前から存在しており、攻撃の痕跡も残らないため、だいぶ大騒ぎになっている。

参考
http://www.atmarkit.co.jp/ait/articles/1404/10/news128.html
Herthbleedテスト
http://filippo.io/Heartbleed/
Qualys SSL Labs
https://www.ssllabs.com/ssltest/ ※デフォルトでは結果が公開されるので「Do not show the results on the boards」をつけること。

CSRF脆弱性

「クロスサイトリクエストフォージェリ(Cross Site Request Forgeries:CSRF)」

いわゆる「はまちちゃん」騒動で使われたやつ。

ケータイ電話向けで問題になりそうなのは、iモードIDなど、ケータイの固有IDを使って簡単ログイン、ID作成等を行っている場合に、第三者から勝手に『正しい処理として』ログイン、ID作成等されてしまう可能性がある。

サーバー側がちゃんと対策してれば大丈夫。発生条件というか、気をつける点は次の通り。

  • POSTとGETを識別していない
  • リファラーも取っていない
  • ユーザーからは推測されにくいセッションIDなどを付加していない

究極の対策は再度ログインさせること。例えば、Yahoo!みたいにものを買うときとかは再度ID/PW入力が必要にする、など。

情報処理推進機構
http://www.ipa.go.jp/security/vuln/vuln_contents/csrf.html
ITmedia『大量の「はまちちゃん」を生み出したCSRFの脆弱性とは?』
http://www.itmedia.co.jp/enterprise/articles/0504/23/news005.html
mpw.jp管理人のBlog『ドコモはiモードIDの生成方法を見直すべきだ』
http://mpw.jp/blog/2009/11/207.html#more-207
作ろうiモードコンテンツ『iモードIDについて』
http://www.nttdocomo.co.jp/service/imode/make/content/ip/#imodeid

XSS

「クロスサイトスクリプティング (Cross Site Scripting) 」

サービスの脆弱性を突くもの。

@IT『クロスサイトスクリプティング対策の基本(前編)』
http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html
Wikipedia『クロスサイトスクリプティング』
http://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AD%E3%82%B9%E3%82%B5%E3%82%A4%E3%83%88%E3%82%B9%E3%82%AF%E3%83%AA%E3%83%97%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0