連載
» 2008年04月08日 00時00分 公開

もいちどイチから! HTTP基礎訓練中(5):レスポンスヘッダ+改行コード=脆弱性?! (1/3)

日常会話までパーセントエンコードができるようになってしまったクウ、まだまだ覚えなくてはならないことだらけ。HTTP知識の基礎を固める本連載、今回ターゲットとなったのは「レスポンスヘッダ」のようです(編集部)

[杉山俊春,株式会社ユービーセキュア]

この記事は会員限定です。会員登録すると全てご覧いただけます。

基礎を固めて褒めてもらおう!

ユウヤ 「おはよ」

クウ 「おは……、えと……」

ユウヤ 「ん?」

クウ 「むう、この気持ちをパーセントエンコードで伝えたい」

ユウヤ 「なにそれ」

 パーセントエンコードについていろいろ勉強したばかりのクウは、ユウヤに対して、HTTPでのパーセントエンコードについて熱弁を振るっていた。すると、その話に興味を持ったナツさんが話し掛けてきた。

ナツ 「なになに? なんか面白そうじゃん?」

ユウヤ 「興味ないっていってるんですけどね……。ナツさん、こいつ引き取ってやってくださいよー」

クウ 「最近HTTPとか勉強してるんすよ。いま、パーセントエンコードについて語ってるとこっす!」

ナツ 「おー。なるほどなるほど」

クウ 「やっぱ基礎は大事すね! 勉強してると実は意外といろいろ知らなかったなーって思って」

ナツ 「うんうん。そういうとこ把握しとくのは大事だよね。感心、感心♪」

 ナツさんは、開発チームのリーダーで、分からないことがあると丁寧に教えてくれる、クウの尊敬する人の1人である。

クウ 「まだ基本でつまずいているようじゃ、まだまだナツさんのレベルまで到達できないっすね」

ナツ 「そうでもないよ。……クウって、今日時間あるんだっけ?」

クウ 「あ、なんか先方と調整つかなくて、待ち状態っぽいです」

ナツ 「なるほど。ちょうど今日は俺も結構時間空いているから教えてあげよう。感謝したまえ。用意できたら声掛けるよー」

クウ 「おおおっ?!」

はい、じゃあ脆弱性探してみて!

 そういうとナツは、自席に戻りなにやら準備を始めた。

ナツ 「できたよー。いまからいうURLにアクセスしてみて」

クウ 「了解っす!」

ナツ 「http://192.168.0.……」

クウ 「……お、アクセスできました」

ナツ 「うん。それそれ。前に、私が作ってたやつでうっかり脆弱性作り込んじゃったやつ」

クウ 「えええ! ナツさんでもそんなことあるんすね」

ナツ 「幸いリリース前に自分で気付いて直したんだけどね。戒めのために手元に残しておいたんだ」

クウ 「そうなんですか」

ナツ 「ここで問題! どこに脆弱性があるでしょーか?」

クウ 「おおおっ?!」

ナツ 「HTTPが理解できてないとこれはよく分かんないだろうな。長く時間とっても無駄だから制限時間は30分!」

クウ 「30分! 短いけど頑張るっす!」

ナツ 「時間切れー。残念」

クウ 「くーっ。分からなかった……」

 クウはSQLインジェクションやクロスサイトスクリプティングを試してみたり、パーセントエンコードを用いて制御文字を挿入したりといろいろやってみたものの、特に脆弱性と呼べるような挙動を見つけることはできなかった。

ナツ 「残念賞にアメくらいはあげよう。はい」

クウ 「ありがたくちょうだいいたします!」

 そういってアメをクウに渡すとナツは、自席に戻って行った……。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。