第4回 まこと先輩と星野君とCSRFの微妙な関係
杉山 俊春三井物産セキュアディレクション株式会社
テクニカルサービス事業部
コンサルタント
2006/1/28
| 念願のWeb担当業務に異動した星野君。上司も同僚も助けてくれず、孤軍奮闘ながらも会社のWeb管理システムに存在したSQLインジェクションを発見した(第2回)。その活躍を認められて(?)ほかのWebアプリケーションの検査と対策もするはめに(第3回)。 Web担当ってWebアプリケーションのセキュリティ検査をする部署なの。いつになったら星野君は「まこと先輩」の顔を見ることができるの? |
Webアプリケーション検査も手慣れてきました
以前立ち話で聞いた、高橋さんが携わっているプロジェクトに終わりが見えてきたらしい。そのプロジェクトとは、顧客向けにサービスを展開するためのWebアプリケーションを新たに導入するというものだ。テスト環境を構築し、納品されたWebアプリケーションがようやく動く状態になったのだ。
| 高橋さん | 「これから、Webアプリの検収作業をするんだけどさ、手伝ってくれないかな? 」 |
| 星野君 | 「あ、いいっすよ」 |
| 高橋さん | 「俺、あんまり分かんないからさ、脆弱性がないか不安なんだよね。納品がかなり遅れちゃってる状態だし、そこらへんまで気が回ってないんじゃないかなーって」 |
| 星野君 | 「あー、なるほどぉ」 |
| 高橋さん | 「一応、システム部門にWebアプリに詳しい人がいるから、その人にも頼んであるんだけど。念のため何人かでやった方がいいかなぁ〜って」 |
| 星野君 | 「(あ、それってまこと先輩のことかな?)」 |
星野君は早速Webアプリケーションを調べることにした。どうやら、hiddenとセレクトボックスの入力値で、入力チェックおよびサニタイジング(無害化)がなされていなかったため、クロスサイトスクリプティングがいくつか存在している。しかし、SQL インジェクションのような危険度の高いものはなかった。
| 高橋さん | 「どうだったー? 」 |
| 星野君 | 「えっと、致命的なものはないみたいですけど、クロスサイトスクリプティングとかがいくつかあるみたいですね」 |
| 高橋さん | 「えーっ!? やっぱりちゃんとできてなかったの〜? 検品しておしまいになればいいなぁ〜って思ってたのに。めんどくさいなぁ……。一応システム部門の方にも聞いてみようかなぁ」 |
ついに“あの人”に会えるのかな?
結局、星野君が見つけた脆弱性以外にもいくつか修正しなければならない個所があったので検品についてミーティングを実施することとなった。星野君も自分が見つけた脆弱性に関して説明するため簡単な資料を用意した。
| 高橋さん | 「星野君、これから検品のミーティングやるんだけど出られる?」 |
| 星野君 | 「あ、もちろん大丈夫です」 |
| 高橋さん | 「じゃあ、俺はちょっとタバコ吸ってから行くんで、30分後に6階の会議室ね」 |
ついこの間はタバコ減らしてるとかいっていたのに、やっぱりなんだかんだいって結構吸ってるんじゃん、と星野君は思った。
星野君は、少しドキドキしていた。実は星野君はまこと先輩と直接会ったことが一度もない。しかも、脆弱性について話さなくてはいけないので、間違ったことを喋って怒られないか不安だったのだ。
星野君はそんな不安を抱えながらもミーティングの準備をし、会議室へと向かった。会議室へ向かう途中、高橋さんが喫煙所でのんびりとタバコを吸っているのが見えたが、先に会議室へ行って準備をしておくことにした。
会議室にはすでに3人が来ていた。2人はWebアプリケーションの開発会社の人だ。もう1人は検品を手伝ってくれたシステム部門の人のようだ。開発会社の人と名刺交換を済ませ、システム部門の人のところへあいさつに行った。
| 赤坂さん | 「はじめまして。システム部門の赤坂と申します〜。よろしくお願いしま〜す」 |
| 星野君 | 「あ、星野です、はじめまして。よろしくお願いします」 |
システム部門の人は、物腰の柔らかい感じのおっとりとした女性だった。 「まこと先輩じゃなかったのかぁ」。星野君はガッカリしたようなほっとしたような複雑な心境だった。
|
1/3
|
 |
| Index | |
| まこと先輩と星野君とCSRFの微妙な関係 | |
 |
Page1 Webアプリケーション検査も手慣れてきました ついに“あの人”に会えるのかな? |
| Page2 星野君の検査には見落としがあります! クロスサイトリクエストフォージェリって何だ? |
|
| Page3 Webアプリ改造計画発動−CSRF編 |
|
星野君のWebアプリほのぼの改造計画 バックナンバー
 |
星野君のWebアプリほのぼの改造計画 連載インデックス |
TechTargetジャパン
- Facebook タイムライン利用時の「鉄則」 (2012/2/9)
ユーザーインターフェイスの変更措置に伴い浮上した、Facebookの「過剰な情報提供」のリスクと対策とは - 無料サービスなら通信内容を記録してもいいの? (2012/1/13)
無料の公衆無線LANサービスが、ユーザーに無断で通信履歴を記録していたことが判明し、話題に - 攻撃はまるでレーザービーム (2011/12/26)
2011年に話題となった標的型攻撃は「人」という弱点ををねらい打ちにしました。では、人に教育さえしておけば防げるものなのでしょうか? - 見せたくないなら「持たせない」が鉄則! (2011/12/15)
逆コンパイル対策で難読化したのに、大事なデータが解析されちゃった? Androidアプリのセキュリティの道は深い
 |
|
|
|
|
キャリアアップ
スポンサーからのお知らせ
- - PR -
イベントカレンダー
- - PR -
お勧め求人情報
転職/派遣情報を探す
**先週の人気講座ランキング**
〜 Android編 〜
ホワイトペーパー(TechTargetジャパン)
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。