第3回 Webアプリ、入力チェックで万事OK?

杉山 俊春
三井物産セキュアディレクション株式会社
テクニカルサービス事業部
コンサルタント
2005/12/22
(Illustrated by はるぷ)
念願のWeb担当業務に異動した星野君。配属初日にセミナーのWeb申し込みフォームを3日で作る仕事を押し付けられた(第1回)。4カ月も管理者不在で放置されていたWebサーバを調べてみれば、「admin」だとか「test」だとか「old」という名前を付けられたファイルやフォルダが存在している。極め付きの大穴は、会社のWeb管理システムにSQLインジェクションが存在したこと(第2回)。

親友の山下君、メールでしか言葉を交わしたことのない「まこと先輩」の助けを得て、次々と浮かび上がるトラブルを解決する星野君に、心の休まる日は来るのだろうか?

 Web担当の仕事にもようやく慣れ始めた星野君。会社のWeb戦略が少しずつではあるが固まってきたこともあって、ちょこちょことした細かい要望に応える仕事をこなしていた。配属当初はどうなることやらと不安で仕方なかったが、比較的順調に進んでいるように思えた。

 新しいサービスを始める前に新しいWebサーバが欲しいな

 そんな星野君であるが、今日はとても気になることがあった。それは高橋さんだ。喫煙室に異動になったのかと思うほど席にいなかったのに、今日は珍しく席に座って仕事をしている。

高橋さん 「うちの会社のWebページでSQLインジェクションを発見したんだって? メールで見たよ。セキュリティに詳しいんだね〜」
星野君 「いやいや、ちょっと試したらできちゃって……。ホント最近勉強し始めたばかりなんですよ……」
高橋さん 「へぇ〜。それでもすごいよ」

 星野君が発見したSQLインジェクションとは、会社のWebサイト管理ツールに存在した脆弱性だ。まこと先輩の助けを借りながらも穴はふさいでおいた。

 星野君が高橋さんとまともに会話をするのはこれが初めてだったが、「意外に喋りやすい人だ」と思った。

高橋さん 「あ、そうだ。いまのWebサーバに新しいシステム入れるんだけどさ、サーバの状態とか教えてくんない?」

 話を聞いてみると、顧客向けの新しいサービスを展開するためのWebアプリケーションを導入することになったらしい。星野君が調べた範囲では侵入の形跡を見つけることができなかったとはいえ、SQLインジェクションの件を考えると、いまのWebサーバを置き換えたいと思っていた。OSごと一度入れ替えた方がいいということを熱弁し、何とか新しいサーバを用意して置き換えるという方向で話がついた。

高橋さん 「あぁ〜っ、めんどくさいなぁ……」

 星野君にはWebサーバと新しいWebアプリケーションの話以外にも高橋さんに聞きたいことがあった。思い切って聞いてみることにした。

星野君 「高橋さん。今日はタバコ吸わないんですか?」
高橋さん 「ああ、最近ちょっと減らしてるんだよ。吸っても1日5本くらいかなぁ」
星野君 「あれ!? そうなんですか?」
高橋さん 「うん。何かおかしい??」

 星野君は一瞬“5箱”の聞き間違いかと思ったが、1本6分計算でも、5箱吸い切るには10時間もかかる。いくらなんでもそれは無理だろう。仮にそうだとしたら、ある意味尊敬に値する。

 じゃあ、いつも何をしていたんだろう……。実は、ああ見えてちゃんと仕事をしていたのかもしれない。

 星野君は勝手な先入観で高橋さんを見ていたことを少し反省した。

1/5

Index
Webアプリ、入力チェックで万事OK?
Page1
新しいサービスを始める前に新しいWebサーバが欲しいな
  Page2
ほかのWebアプリケーションもささっと検査してよ
Webアプリケーション検査ツールが必要みたいだ
  Page3
星野君、HTTPリクエストを“ハック”する
  Page4
入力チェックと画面遷移管理をしているから大丈夫でしょ
  Page5
星野君、牧野さんにクロスサイトスクリプティングを仕掛ける

星野君のWebアプリほのぼの改造計画 バックナンバー


星野君のWebアプリほのぼの改造計画 連載インデックス

TechTargetジャパン

Security&Trust フォーラム 新着記事

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

RSSフィード

@IT 新着記事

キャリアアップ

- PR -
@IT Sepcial
→ @IT Special ヘ

イベントカレンダー

PickUpイベント

- PR -
もっと見る
- PR -

お勧め求人情報

ホワイトペーパーTechTargetジャパン

@IT Sepcial
→ @IT Special ヘ
ソリューションFLASH