公開日:2007年6月28日
独立行政法人情報処理推進機構
セキュリティセンター
本ページの情報は2007年6月時点のものです。
記載の資料は資料公開当時のもので、現在は公開されていないものも含みます。
Webアプリケーションプログラムは、他のソフトウェアに比べて次のような特性をもつ。
これらの特性から、Webアプリケーションにはいくつかの情報セキュリティ問題が生じがちである。それらは概ね次のように分類できる。
Webサーバは予定外のファイルを開示するおそれがある。また、あるWebコンテンツに埋め込まれたURLによって別のWebコンテンツを呼び出す際、そこに置かれたパラメータが重要な情報を暴露していたり、干渉を受けるおそれがある。
Webアプリケーションが入力パラメータをそのままHTMLページやHTTPレスポンスヘッダ中にエコーバック(鸚鵡返し(おうむがえし))するロジックをもつことは、スクリプト注入やHTTPレスポンスによるキャッシュ偽造の問題を許してしまう。
Webアプリケーションが取り込む入力パラメータにはSQL注入やコマンド注入をはじめとする攻撃を意図した悪意ある内容が含まれているおそれがある。
Webアプリケーションがセッションを維持する仕組みは必ずしも堅固なものではなく、他者からの干渉やセッションの乗っ取りのおそれがある。
Webアプリケーションを構成するコンテンツのひとつひとつはそれぞれ URLで呼び出される形式をとるものであり、実装方法によってはアクセス制御が迂回されるおそれがある。
上記以外にもメールの第三者中継や偽ページの問題がある。
近年のマッシュアップによる開発においても、技術動向を反映した問題がある。
ソフトウェア開発工程の流れおよび上記カテゴリをふまえ、「Webアプリケーション編」の構成は次のようになっている。
a.総論
b.アクセス制御
c.サイトデザインにかかわる対策
d.セッション対策
e.暴露対策
f.入力対策
g.エコーバック対策
h.マッシュアップ