第1回 XSSは知ってても、それだけじゃ困ります?
杉山 俊春
株式会社ユービーセキュア
技術本部 テクニカルサービス部
セキュアオーディットコンサルタント
2007/9/28
| Webアプリケーションのセキュリティを取り巻く環境は大きく変化してきている。攻撃は複雑さを増し、複数の脆弱性を利用する攻撃も増えている。しかし、基本を理解せずに個別の脆弱性について対応しても、表面的な対策となってしまう。本連載では、Webアプリケーションのセキュリティにおいて理解しておく必要のある基本技術について解説を行う。 |
分かってるつもりではあるけれど……
クウはベンチャー企業で働くWebアプリケーションのエンジニア。でもそこは小さなベンチャー企業、セキュリティのことは分かっていながらも、動くものを納品するので精いっぱい……。今日は納品のため、客先でミーティングに参加していた。そしてお客様から受けた指摘は、こんな一言だった。
| お客さん | 「……で、このWebアプリケーション、セキュリティは大丈夫なんだよね?」 |
| クウ | 「は、はいっ! もちろんです!」 |
| お客さん | 「じゃあ、これからもよろしく頼むよ」 |
| クウ、ユウヤ | 「よろしくお願いしますっ!」 |

無事、お客さんとのミーティングを終えたクウとユウヤの2人は、近くの喫茶店で一息いれることにした。
| クウ | 「最近はセキュリティのことを聞かれることがかなり増えてきましたねぇ」 |
| ユウヤ | 「ああ、そうだね。営業の段階から『セキュリティはどう担保されているんだ?』なーんてことをいわれちゃうようになってきたね」 |
| クウ | 「うちみたいに小さい会社だと正直ちょっと手が回らなくて厳しいですよね……」 |
| ユウヤ | 「『セキュリティ』なんていわれても複雑だからなぁ」 |
| クウ | 「ですよね。どこから手を付けていいのか分からないですよ」 |
| ユウヤ | 「なんかこれを押さえておけば大丈夫! っていう基本みたいなものってないものかねぇ」 |
| クウ | 「基本、かぁ……」 |
Webアプリエンジニアはみんな悩んでいる
時間も遅くなっていたので、クウはユウヤと別れ、家路についた。Webアプリケーションの開発をしているクウにとって、セキュリティは日を追うごとに重要度が増している。しかし、日々の業務をこなすだけで精いっぱいで、そこまで手が回っていないというのが現状だ。
| クウ | (そろそろちゃんとWebアプリのセキュリティを考えないといけないよなぁ) |
それでもクウはセキュリティには気を使って情報収集をしており、クロスサイトスクリプティング(XSS)やSQLインジェクションなどの、Webアプリケーションにおける脆弱性でよく話題になるものに関してはある程度理解をしていた。しかし、どうしても一時しのぎな対策を取っている感は否めず、自らが作成したWebアプリケーションが“本当に安全である”かどうか、自信を持つことができなかった。
| クウ | (でも、Webアプリのセキュリティを考えるに当たって必要な知識って何だろう……) |
クウは家に着くとPCを立ち上げ、あらためてWebアプリケーションのセキュリティについて調べてみた。しかし、個別の脆弱性への対策などはすぐに探すことができるが、クウの満足できるような情報はやはり見つけることができなかった。
| クウ | (Webアプリのセキュリティの基本っていっても、やっぱり個別の脆弱性情報を地道に調べていくしかないのかな) |

Webアプリセキュリティ、メタな視点で考えてみる?
| クウ | 「あ!珍しいな」 |
そのとき、ネットで知り合った友人のメッセンジャーがオンラインになった。
@IT messenger v1.20 |
クウ:珍しいですね。お久しぶりです。 ジュン:おお、久しぶり。やっと仕事が落ち着いてね〜。そっちは仕事どう? |
ジュンとはWebアプリケーション開発関連のコミュニティで知り合ったのがきっかけで、時々メッセンジャーを通じて情報交換などをしている。彼はセキュリティに関しても詳しいようだったので、クウは少し聞いてみることにした。
@IT messenger v1.20 |
クウ:ちょっといま困っていることがあるんですけど教えてもらってもいいですか? ジュン:いいよー。何? クウ:Webアプリのセキュリティについてなんですけど……。もう最近よく分かんなくなってきて>< ジュン:ほぅ。 クウ:Webアプリのセキュリティの基本、これ押さえればOK! みたいなのって、ないですかねぇ……。 ジュン:んー。基本っていうと、やっぱり一番知名度高そうなところで、クロスサイトスクリプティングとか? クウ:やっぱりそこらへんになっちゃうんですかねぇ。 ジュン:あれ、そーいうのじゃない? クウ:なんか、もっと基本的な考え方というか、知識というか、そういうところがないかなーと……。 ジュン:ふむ……。それでいくと、HTTPとかを理解する、とかはどう? クウ:お! そういうレベルの話は考えたことがなかったかもしれないです。 ジュン:じゃあ、それだな。 クウ:けど、HTTPってブラウザのアドレスバーに入れるあれですよね?それ以上の何かってあるんですか? ジュン:ふふふ、そしたら教えてあげるよ。まず、「コマンドプロンプト」を立ち上げてみてー。 クウ:コマンドプロンプトですか?? ブラウザじゃなくって? |
1/3 |
| Index | |
| XSSは知ってても、それだけじゃ困ります? | |
| Page1 分かってるつもりではあるけれど…… Webアプリエンジニアはみんな悩んでいる Webアプリセキュリティ、メタな視点で考えてみる? |
|
| Page2 コマンドプロンプトで華麗にWebサーフィン HTTPはリクエストから始まる |
|
|
Page3 POSTの場合――GETと何が違う? HTTP基礎の世界を探検しよう |
もいちどイチから! HTTP基礎訓練中 バックナンバー
| もいちどイチから! HTTP基礎訓練中 連載インデックス |
ホワイトペーパー(TechTargetジャパン)
- この脆弱性対策エンジンは“永遠に完成しない” (2010/3/9)
パターンファイルに頼らず防御する「要の技術」は、いまも完成にはいたっていない。その理由とは―― - Gumblarがあぶり出す 「空虚なセキュリティ対策」 (2010/3/1)
ガンブラーの脅威は、組織の構造や外部委託問題をあぶり出します。そのセキュリティ対策、建前論になっていませんか? - 決済アプリのセキュリティ基準、PA-DSSとは (2010/2/24)
“ペイメントアプリケーション”のセキュリティ基準を定めたPA-DSS。厳密に定められた14の要件を、PCI DSSと対比させつつ解説します - 「鍵は“J”の中にあるよ」CTF by ダークナイト解答編 (2010/2/22)
ダークナイトからの挑戦状、いかがだっただろうか。WiresharkにNetworkMiner、WinRARを駆使し、“J”に隠された秘密を解き明かせ!
|
|
スキルアップ/キャリアアップ(JOB@IT)
スポンサーからのお知らせ
- - PR -
| 「いつかは壊れるサーバ」そんな故障に 迅速で安価に手軽に対応する方法とは? New! |
| 「特権ユーザー」の事件を防げ! 万能権限を持つユーザーの管理方法とは? New! |
| 仮想環境の構築とデータ保護の特効薬?! 実績と信頼性の高いパッケージで安心運用 |
| 仮想環境のバックアップもこれまでどおり 「まるごと取ってまるごと戻す」簡単運用 |
| おばかアプリ選手権、第4弾開催中!! ムダにカッコよくてくだらない作品求ム! |
| 社内ファイルサーバを“クラウド”に統合 VPN直結「クラウド型ストレージ」を紹介 |
| その数、なんと400台以上! グループ内 サーバの「統合管理」によるメリットは? |
| 美人!? まあまあ? 気になる いやし系!! PV急増で「美人時計」がとった手段とは? |
| 進化を続ける富士通ストレージETERNUS DX 製品開発者の自信を裏付けるものとは何か |
| 運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
- - PR -
お勧め求人情報

**先週の人気講座ランキング**
〜CCNA編〜
| ◆ | TomcatやJBossなどAPサーバ環境に関する 情報を集約! “業務”用APサーバ大百科 New! |
| ◆ | 一気に解説! 最新のクラスタストレージ 「RAIDを超えたストレージ基準」……など New! |
| ◆ | クラウド的ユーザー体験の変化は脅威か? 仮想化技術を使いこなす運用管理術を紹介 New! |

| ◆ | 上司や部下、部署内メンバーとの情報共有 を“ガラッ”と変えるコラボツールとは? New! |
| ◆ | おばかアプリ選手権、第4弾開催中!! ムダにカッコよくてくだらない作品求ム! |
| ◆ | 社内ファイルサーバを“クラウド”に統合 VPN直結「クラウド型ストレージ」を紹介 |

| ◆ | Twitterのアカウントはなぜ突破された? メールによる新手の攻撃手法とその対策 |
| ◆ | もう仮想化のお試しフェイズは終わりだ! Hyper-V 2.0が基幹システムも仮想化 |
| ◆ | 美人!? まあまあ? 気になる いやし系!! PV急増で「美人時計」がとった手段とは? |

| ◆ | クライアント企業から求められる人材 ⇒IT技術と経営戦略を併せ持つ「戦略家」 |
| ◆ | .NET編集長が実践する「技術情報検索術」 サンプル・コードを簡単に探す“技”は? |
| ◆ | 業務効率と情報セキュリティ対策を両立! 手間なく確実に機密情報を守る方法とは? |

| ◆ | 進化を続ける富士通ストレージETERNUS DX 製品開発者の自信を裏付けるものとは何か |
| ◆ | 運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |

| ◆ | 【CTC事例】約30の基幹システムを統合! 膨大なバッジジョブを制御した方法は? |
| ◆ | 仮想化すればコストは削減できるか? 仮想化に必要な「3つの視点」を解説する |
| ◆ | その数、なんと400台以上! グループ内 サーバの「統合管理」によるメリットは? |






