まこと先輩と星野君とCSRFの微妙な関係：星野君のWebアプリほのぼの改造計画（4）（1/3 ページ）

[杉山俊春, Illustrated by はるぷ，三井物産セキュアディレクション株式会社]

印刷

通知 連載「％」の新着をメールで通知

鬯ｯ�ｯ�ｽ�ｯ�ｽ�ｽ�ｽ�ｮ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｫ鬯ｯ�ｩ陋ｹ�ｽ�ｽ�ｽ�ｽ�ｨ鬩幢ｽ｢�ｽ�ｧ髫ｰ�ｽ竏橸ｿｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｹ鬯ｮ�ｫ�ｽ�ｴ鬮ｮ諛ｶ�ｽ�｣�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�｢�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽPost

Shareシェア

はてなブックマーク

SharePocket Button

念願のWeb担当業務に異動した星野君。上司も同僚も助けてくれず、孤軍奮闘ながらも会社のWeb管理システムに存在したSQLインジェクションを発見した（第2回）。その活躍を認められて（？）ほかのWebアプリケーションの検査と対策もするはめに（第3回）。

Web担当ってWebアプリケーションのセキュリティ検査をする部署なの。いつになったら星野君は「まこと先輩」の顔を見ることができるの？

Webアプリケーション検査も手慣れてきました

　以前立ち話で聞いた、高橋さんが携わっているプロジェクトに終わりが見えてきたらしい。そのプロジェクトとは、顧客向けにサービスを展開するためのWebアプリケーションを新たに導入するというものだ。テスト環境を構築し、納品されたWebアプリケーションがようやく動く状態になったのだ。

高橋さん　「これから、Webアプリの検収作業をするんだけどさ、手伝ってくれないかな？」

星野君　「あ、いいっすよ」

高橋さん　「俺、あんまり分かんないからさ、脆弱性がないか不安なんだよね。納品がかなり遅れちゃってる状態だし、そこらへんまで気が回ってないんじゃないかなーって」

星野君　「あー、なるほどぉ」

高橋さん　「一応、システム部門にWebアプリに詳しい人がいるから、その人にも頼んであるんだけど。念のため何人かでやった方がいいかなぁ～って」

星野君　「（あ、それってまこと先輩のことかな？）」

　星野君は早速Webアプリケーションを調べることにした。どうやら、hiddenとセレクトボックスの入力値で、入力チェックおよびサニタイジング（無害化）がなされていなかったため、クロスサイトスクリプティングがいくつか存在している。しかし、SQLインジェクションのような危険度の高いものはなかった。

高橋さん　「どうだったー？」

星野君　「えっと、致命的なものはないみたいですけど、クロスサイトスクリプティングとかがいくつかあるみたいですね」

高橋さん　「えーっ！？やっぱりちゃんとできてなかったの～？検品しておしまいになればいいなぁ～って思ってたのに。めんどくさいなぁ……。一応システム部門の方にも聞いてみようかなぁ」

ついに“あの人”に会えるのかな？

　結局、星野君が見つけた脆弱性以外にもいくつか修正しなければならない個所があったので検品についてミーティングを実施することとなった。星野君も自分が見つけた脆弱性に関して説明するため簡単な資料を用意した。

高橋さん　「星野君、これから検品のミーティングやるんだけど出られる？」

星野君　「あ、もちろん大丈夫です」

高橋さん　「じゃあ、俺はちょっとタバコ吸ってから行くんで、30分後に6階の会議室ね」

　ついこの間はタバコ減らしてるとかいっていたのに、やっぱりなんだかんだいって結構吸ってるんじゃん、と星野君は思った。

　星野君は、少しドキドキしていた。実は星野君はまこと先輩と直接会ったことが一度もない。しかも、脆弱性について話さなくてはいけないので、間違ったことを喋って怒られないか不安だったのだ。

　星野君はそんな不安を抱えながらもミーティングの準備をし、会議室へと向かった。会議室へ向かう途中、高橋さんが喫煙所でのんびりとタバコを吸っているのが見えたが、先に会議室へ行って準備をしておくことにした。

　会議室にはすでに3人が来ていた。2人はWebアプリケーションの開発会社の人だ。もう1人は検品を手伝ってくれたシステム部門の人のようだ。開発会社の人と名刺交換を済ませ、システム部門の人のところへあいさつに行った。

赤坂さん　「はじめまして。システム部門の赤坂と申します～。よろしくお願いしま～す」

星野君　「あ、星野です、はじめまして。よろしくお願いします」

　システム部門の人は、物腰の柔らかい感じのおっとりとした女性だった。「まこと先輩じゃなかったのかぁ」。星野君はガッカリしたようなほっとしたような複雑な心境だった。