公開中のHTMLファイルがごっそり消失!?星野君のWebアプリほのぼの改造計画(7)(3/3 ページ)

» 2006年05月27日 00時00分 公開
[杉山俊春, Illustrated by はるぷ三井物産セキュアディレクション株式会社]
前のページへ 1|2|3       

どこからもリンクされていないのに、なぜ不正アクセスが

 どうやら星野君は、以前Webのチェックを行ったときにこのファイルを見落としてしまっていたようだ。それもそのはず、このファイルは現在の会社のWebページのどこからもリンクされていなかったのだ。しかも、現在稼働中のWebアプリケーションと同じフォルダの中にあったため、気が付かなかったのだ。

赤坂さん 「これじゃあ、脆弱なWebアプリケーションが残ってても見落としちゃうよねぇ」

星野君 「う〜ん。不正アクセスしてきた人は、こんなファイルがあるってどうして分かったんだろう……」

赤坂さん 「検索エンジンとか調べてみた?」

星野君 「え?検索エンジン??」

赤坂さん 「そう。検索エンジン。いまはWeb上からリンクを張られてなくても、以前にリンクが張られていたことがあれば、検索エンジンに引っ掛かって残っちゃってるかもしれないよ」

 検索エンジンには、ドメイン名を指定したり、ファイルの拡張子を指定したりして検索を行える機能を備えているものが多い。例えば、Googleで「www.example.com」のサイト内の拡張子が「cgi」のファイルを探したければ、検索語を以下のように指定することで検索が可能である。

site:www.example.com filetype:cgi

 検索エンジンによってリストアップされてしまうようなファイルは、すべて公開されているものと見なし、セキュリティに問題がないかどうかを見直す必要がある。非公開にしていたつもりのファイルが、実は検索エンジンなどから丸見えだったりすることも少なくない。

 また、たとえ検索エンジンに引っ掛からなくとも、過去のページの状態を保存しているInternet Archiveなどを使うことによって、どのようなファイルがあるかなどを知られてしまう可能性も存在する。

Internet Archiveに保存されている過去のWebページ一覧 Internet Archiveに保存されている過去のWebページ一覧(画像をクリックすると拡大します)

星野君 「ホントだ……。検索エンジンで出てきちゃいますね……」

赤坂さん 「きっとそこからたどってきたんだろうね」

 一通り現象は確認できたので、星野君と赤坂さんは万が一に備えてOSをクリーンインストールしたうえで、不要なファイルが紛れ込んでいないかもう一度チェックし直すことにした。

高橋さん 「あれ?赤坂さん、こんなとこで何してんの?」

 高橋さんが戻ってきた。タバコにしては長いこと席を外していたので、何か別の作業でもしていたのだろうか。

赤坂さん 「えっと……。あ!高橋さんとミーティングをしに来たんでした」

高橋さん 「ああっ!忘れてた。ごめんごめん。ずっと喫煙所でタバコ吸ってた……。ミーティング、午後からにしてもらっていい?」

談笑する3人

次回予告:

 今度は対策したはずのWebアプリケーションに攻撃が!プログラムのコードは問題ないように見えるのに……どうして??

赤坂さんのWebアプリ・チェックポイント!

赤坂さん

Check!
Webアプリケーション経由でもOSコマンドが動作する

OSコマンドが動作するような関数を利用する場合、ユーザーからの入力が挿入されないようにするか、厳格な入力チェックおよびエスケープなどの無害化を行おう。

Check!
どこからもリンクされていないからといって非公開とは限らない

過去に利用していたり、何かの拍子でどこかでリンクされたりすることで、検索エンジンなどから閲覧できてしまう場合がある。すべてのファイルが閲覧され得ると考えて、念入りにチェックを行おう。


Profile

杉山 俊春(すぎやま としはる)

三井物産セキュアディレクション株式会社
テクニカルサービス事業部検査グループ
コンサルタント

セキュリティコンサルタントとして、主にWebアプリケーションのセキュリティ検査などに従事している。大手就職活動支援サイト、ショッピングサイトなどの検査実績を持つ。



前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。