第1回 XSSは知ってても、それだけじゃ困ります?
杉山 俊春
株式会社ユービーセキュア
技術本部 テクニカルサービス部
セキュアオーディットコンサルタント
2007/9/28
| Webアプリケーションのセキュリティを取り巻く環境は大きく変化してきている。攻撃は複雑さを増し、複数の脆弱性を利用する攻撃も増えている。しかし、基本を理解せずに個別の脆弱性について対応しても、表面的な対策となってしまう。本連載では、Webアプリケーションのセキュリティにおいて理解しておく必要のある基本技術について解説を行う。 |
分かってるつもりではあるけれど……
クウはベンチャー企業で働くWebアプリケーションのエンジニア。でもそこは小さなベンチャー企業、セキュリティのことは分かっていながらも、動くものを納品するので精いっぱい……。今日は納品のため、客先でミーティングに参加していた。そしてお客様から受けた指摘は、こんな一言だった。
| お客さん | 「……で、このWebアプリケーション、セキュリティは大丈夫なんだよね?」 |
| クウ | 「は、はいっ! もちろんです!」 |
| お客さん | 「じゃあ、これからもよろしく頼むよ」 |
| クウ、ユウヤ | 「よろしくお願いしますっ!」 |
無事、お客さんとのミーティングを終えたクウとユウヤの2人は、近くの喫茶店で一息いれることにした。
| クウ | 「最近はセキュリティのことを聞かれることがかなり増えてきましたねぇ」 |
| ユウヤ | 「ああ、そうだね。営業の段階から『セキュリティはどう担保されているんだ?』なーんてことをいわれちゃうようになってきたね」 |
| クウ | 「うちみたいに小さい会社だと正直ちょっと手が回らなくて厳しいですよね……」 |
| ユウヤ | 「『セキュリティ』なんていわれても複雑だからなぁ」 |
| クウ | 「ですよね。どこから手を付けていいのか分からないですよ」 |
| ユウヤ | 「なんかこれを押さえておけば大丈夫! っていう基本みたいなものってないものかねぇ」 |
| クウ | 「基本、かぁ……」 |
Webアプリエンジニアはみんな悩んでいる
時間も遅くなっていたので、クウはユウヤと別れ、家路についた。Webアプリケーションの開発をしているクウにとって、セキュリティは日を追うごとに重要度が増している。しかし、日々の業務をこなすだけで精いっぱいで、そこまで手が回っていないというのが現状だ。
| クウ | (そろそろちゃんとWebアプリのセキュリティを考えないといけないよなぁ) |
それでもクウはセキュリティには気を使って情報収集をしており、クロスサイトスクリプティング(XSS)やSQLインジェクションなどの、Webアプリケーションにおける脆弱性でよく話題になるものに関してはある程度理解をしていた。しかし、どうしても一時しのぎな対策を取っている感は否めず、自らが作成したWebアプリケーションが“本当に安全である”かどうか、自信を持つことができなかった。
| クウ | (でも、Webアプリのセキュリティを考えるに当たって必要な知識って何だろう……) |
クウは家に着くとPCを立ち上げ、あらためてWebアプリケーションのセキュリティについて調べてみた。しかし、個別の脆弱性への対策などはすぐに探すことができるが、クウの満足できるような情報はやはり見つけることができなかった。
| クウ | (Webアプリのセキュリティの基本っていっても、やっぱり個別の脆弱性情報を地道に調べていくしかないのかな) |
Webアプリセキュリティ、メタな視点で考えてみる?
| クウ | 「あ!珍しいな」 |
そのとき、ネットで知り合った友人のメッセンジャーがオンラインになった。
@IT messenger v1.20 |
クウ:珍しいですね。お久しぶりです。 ジュン:おお、久しぶり。やっと仕事が落ち着いてね〜。そっちは仕事どう? |
ジュンとはWebアプリケーション開発関連のコミュニティで知り合ったのがきっかけで、時々メッセンジャーを通じて情報交換などをしている。彼はセキュリティに関しても詳しいようだったので、クウは少し聞いてみることにした。
@IT messenger v1.20 |
クウ:ちょっといま困っていることがあるんですけど教えてもらってもいいですか? ジュン:いいよー。何? クウ:Webアプリのセキュリティについてなんですけど……。もう最近よく分かんなくなってきて>< ジュン:ほぅ。 クウ:Webアプリのセキュリティの基本、これ押さえればOK! みたいなのって、ないですかねぇ……。 ジュン:んー。基本っていうと、やっぱり一番知名度高そうなところで、クロスサイトスクリプティングとか? クウ:やっぱりそこらへんになっちゃうんですかねぇ。 ジュン:あれ、そーいうのじゃない? クウ:なんか、もっと基本的な考え方というか、知識というか、そういうところがないかなーと……。 ジュン:ふむ……。それでいくと、HTTPとかを理解する、とかはどう? クウ:お! そういうレベルの話は考えたことがなかったかもしれないです。 ジュン:じゃあ、それだな。 クウ:けど、HTTPってブラウザのアドレスバーに入れるあれですよね?それ以上の何かってあるんですか? ジュン:ふふふ、そしたら教えてあげるよ。まず、「コマンドプロンプト」を立ち上げてみてー。 クウ:コマンドプロンプトですか?? ブラウザじゃなくって? |
1/3 |
 |
| Index | |
| XSSは知ってても、それだけじゃ困ります? | |
 |
Page1 分かってるつもりではあるけれど…… Webアプリエンジニアはみんな悩んでいる Webアプリセキュリティ、メタな視点で考えてみる? |
| Page2 コマンドプロンプトで華麗にWebサーフィン HTTPはリクエストから始まる |
|
|
Page3 POSTの場合――GETと何が違う? HTTP基礎の世界を探検しよう |
もいちどイチから! HTTP基礎訓練中 バックナンバー
 |
もいちどイチから! HTTP基礎訓練中 連載インデックス |
TechTargetジャパン
- 無料サービスなら通信内容を記録してもいいの? (2012/1/13)
無料の公衆無線LANサービスが、ユーザーに無断で通信履歴を記録していたことが判明し、話題に - 攻撃はまるでレーザービーム (2011/12/26)
2011年に話題となった標的型攻撃は「人」という弱点ををねらい打ちにしました。では、人に教育さえしておけば防げるものなのでしょうか? - 見せたくないなら「持たせない」が鉄則! (2011/12/15)
逆コンパイル対策で難読化したのに、大事なデータが解析されちゃった? Androidアプリのセキュリティの道は深い - イベントの秋と盛り上がったプライバシー問題 (2011/12/13)
イベントが各所で開催され、賑わう一方で、プライバシー関連の話題が引き続き議論の焦点に
 |
|
|
|
|
キャリアアップ
スポンサーからのお知らせ
- - PR -
イベントカレンダー
- - PR -
お勧め求人情報
転職/派遣情報を探す
**先週の人気講座ランキング**
〜 Android編 〜
ホワイトペーパー(TechTargetジャパン)
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。