杉山 俊春
三井物産セキュアディレクション株式会社
テクニカルサービス事業部
コンサルタント

(Illustrated by はるぷ)

セミナー申し込みフォームがスパムの踏み台?
星野君のWebアプリほのぼの改造計画(1)
 念願のWeb担当に異動した星野君。最初の仕事はセミナーのWeb申し込みフォームを3日で作ることだった(2005/10/15)

 ・セミナー申し込みフォームを3日で作れ!
 ・Webサーバはどこだろう?
 ・Web申し込みフォームなんて簡単ですよ
 ・スパムの踏み台は想定外!?
誰でもWeb管理画面に入れる気前のいい会社
星野君のWebアプリほのぼの改造計画(2)
 星野君に与えられた次なる指令は……仕事がなかった。しかたなく「Web管理ツール」を調べてみると……(2005/11/19)

 ・仕事がない!
 ・サーバ上にある「admin」フォルダの謎
 ・「admin」フォルダを封鎖せよ
 ・SQLインジェクション、発見!
 ・助けて! まこと先輩
 ・Webアプリ改造計画発動−SQLインジェクション編
Webアプリ、入力チェックで万事OK?
星野君のWebアプリほのぼの改造計画(3)
 問い合わせフォームを作成した技術部はクロスサイトスクリプティング対策は万全だという。しかし検査ツールを使ってみると……(2005/12/22)

 ・新しいサービスを始める前に新しいWebサーバが欲しいな
 ・ほかのWebアプリケーションもささっと検査してよ
 ・Webアプリケーション検査ツールが必要みたいだ
 ・星野君、HTTPリクエストを“ハック”する
 ・入力チェックと画面遷移管理をしているから大丈夫でしょ
 ・星野君、牧野さんにクロスサイトスクリプティングを仕掛ける
まこと先輩と星野君とCSRFの微妙な関係
星野君のWebアプリほのぼの改造計画(4)
 顧客向けのWebアプリが完成し、納品に向けてセキュリティに関する打ち合わせを。そこには“あの人”も出席するかもしれない(2006/1/28)

 ・Webアプリケーション検査も手慣れてきました
 ・ついに“あの人”に会えるのかな?
 ・星野君の検査には見落としがあります!
 ・クロスサイトリクエストフォージェリって何だ?
 ・Webアプリ改造計画発動−CSRF編
Flashで作ったゲームも攻撃対象になるんです!
星野君のWebアプリほのぼの改造計画(5)
 星野君の趣味はFlashでゲームを作ること。ところが、このゲームのせいで星野君の休日がどんよりしたものに……(2006/3/11)

 ・できたてのFlashゲームであり得ない高得点連発
 ・Flashゲームで不正行為し放題だったわけは
 ・ディレクトリトラバーサルは直せても解決に至らず
 ・ゲームが気になりすぎて背後のあの人に気が付かず
 ・ほとんど作り直しだー
Cookie Monster襲来! 戦え、星野君
星野君のWebアプリほのぼの改造計画(6)
 「Web管理システムにログインできない!」と町田さんの不機嫌な声。調べてみるとWebブラウザに謎のCookieがセットされている(2006/4/15)

 ・おかしなCookieがセッション管理を邪魔している
 ・Cookieにはdomain属性が付きものだ
 ・Cookie Monsterに襲われたFireFox
 ・困ったときのまこと先輩……なんだけど
 ・困ったときの高橋さんによる取りあえずの対策
公開中のHTMLファイルがごっそり消失!?
星野君のWebアプリほのぼの改造計画(7)
 公開中のWebコンテンツが突然見えなくなった。Webサーバを調査すると、あやしい変数がCGIに渡されていた(2006/5/27)

 ・あっ、ファイルがごっそりなくなっている!
 ・うっかりログインしてしまうと、犯行の痕跡が消える!?
 ・OSコマンドインジェクションで消されたファイル
 ・どこからもリンクされていないのに、なぜ不正アクセスが
メールアドレスの登録チェックが、余計なお世話に?
星野君のWebアプリほのぼの改造計画(8)
 お客さんのショッピングサイトのテストを任された星野君。脆弱性がないWebアプリケーションだと思ったのに……(2006/7/22)

 ・脆弱性はなかったと思ったのに
 ・メールアドレスを重複して登録できないってことは
 ・重複させたくなければ、重複を許容すればいい?
 ・不必要情報よりも、もっと危険な……
隠されていたSQLインジェクション
星野君のWebアプリほのぼの改造計画(9)
 赤坂さんに指摘されたもう1つの「危険な脆弱性」とは? 隠された脆弱性を見つけ出せ!(2006/8/26)

・赤坂さんがSQLインジェクションを見破った手法
・サブクエリによって引き起こされるSQLインジェクションの被害
マルチバイトの落とし穴
星野君のWebアプリほのぼの改造計画(10)
 今日も赤坂さんとお勉強。ちゃんと対策されているようにみえるのに、こんな抜け穴があるなんて!(2006/9/23)

・はい、クロスサイトスクリプティングやってみせて!
・「%82」のなぞ
・半端なマルチバイト文字への対策方法
安全なWebアプリケーションの実現に向けて
星野君のWebアプリほのぼの改造計画(終)
 セキュリティの道に終わりはない! セキュアなWebアプリケーションを作るために必要なことを、もう一度復習してみよう(2006/10/28)

・セミナーの講師はあの人?!
・検査項目をしっかり定義
・ユーザー視点では問題が見えてこない
・Webアプリケーションセキュリティに終わりはない!


■番外編


Flashとポリシーファイルの密接なカンケイ
星野君のWebアプリほのぼの改造計画 番外編(1)
 赤坂さんは星野君の担当する仕事に興味津々。Flashでもセキュリティ対策はきっちりやらないと!(2007/1/30)

・Flashで外部サイトとの連携は簡単?
・Flashとポリシーファイルの関係
・ポリシーファイルが情報漏えいのきっかけになる?!
・ポリシーファイルの影響を個別ディレクトリに限定する
赤坂さん、Flashを攻める!
星野君のWebアプリほのぼの改造計画 番外編(2)
 すっかりFlashの魅力に取りつかれた赤坂さん。夜通し検証した結果、不思議な挙動を見つけてしまいました……(2007/3/9)

・Flash、こんな事ができるの?!
・ActionScriptでHTTPヘッダを操作
・赤坂さん、ダークサイドへ?
Flash完成! でも最後の仕上げを忘れずに
星野君のWebアプリほのぼの改造計画 番外編(終)
 星野君のFlashがとうとう完成! 早速赤坂さんがチェックを始めましたが、ただ見るだけでは飽き足らないようです (2007/4/13)

・星野君、Flash完成! 赤坂さんは早速……
・デバッグコードを残すのはFlashでも危険
・いろいろできるFlashだからこそ

Profile
杉山 俊春(すぎやま としはる)

三井物産セキュアディレクション株式会社
テクニカルサービス事業部検査グループ
コンサルタント

セキュリティコンサルタントとして、主にWebアプリケーションのセキュリティ検査などに従事している。大手就職活動支援サイト、ショッピングサイトなどの検査実績を持つ。

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間