不必要情報よりも、もっと危険な……
赤坂さん 「ってことで、今回は50点ってとこかな」
星野君 「うわっ。厳しいですね……。一応脆弱性は見つけたんだからもう少し……」
赤坂さん 「え。だって、これ、ほかにもっと危険な脆弱性あるよ」
星野君 「え??ホントですか??」
星野君には頑張っても1個だけしか脆弱性を見つけられなかったのだが、赤坂さんはもう1つ見つけているようだ。しかも、その脆弱性は星野君が見つけた不必要情報よりも危険度が高いというのだ。星野君にはこれ以外にどういった脆弱性があるのかなど見当もつかなかった。
赤坂さん 「まあ、ちゃんと特定するところまでいってなくてもいいから、何かおかしな挙動とかなかった?」
星野君 「いえ……。全然……」
赤坂さん 「えー……」
次回予告:
星野君は重大な脆弱性を見逃してしまったようだ。果たして、星野君が見つけられなかった脆弱性とは何なのだろうか……。
赤坂さんのWebアプリ・チェックポイント!
Check!
不必要なエラーメッセージは出さないようにする
ユーザーに与える必要がない情報、または与えるべきではない情報を不用意に与えてしまうことにより、システムやそのほかの情報が漏えいしてしまう場合がある。エラーメッセージを出す際には、そのメッセージから推測できてしまうことがないかチェックしよう
Check!
メールアドレスの登録状態は本人以外に分からないようにする
Webブラウザ上のみの操作でメールアドレスの登録状態をユーザーに通知することで、本人以外に登録情報が漏れてしまう危険性がある。メールを利用するなどして、メールアドレスの所有者のみが登録状態を確認できる仕組みにしよう
Profile
杉山 俊春(すぎやま としはる)
三井物産セキュアディレクション株式会社
テクニカルサービス事業部検査グループ
コンサルタント
セキュリティコンサルタントとして、主にWebアプリケーションのセキュリティ検査などに従事している。大手就職活動支援サイト、ショッピングサイトなどの検査実績を持つ。
Copyright © ITmedia, Inc. All Rights Reserved.