見落としがちなぜい弱性---Webアプリケーション編

■問題■次の二つの画面を見て，このWebアプリケーションにどのような問題があるかをお答えください。 典型的な例であるためご存知の方も多いかもしれない。この例では，表示するエラー・メッセージに問題がある。エラー・メッセージの内容から，ユーザーが存在するか否かを判別できる。このため，認証の安全性が低下してしまう。対策の一つは，「ログインに失敗しました」のみを表示するなど，メッセージに含まれる情報を必要最小限にすることである。 当社はWebアプリケーションのぜい弱性診断サービスを提供しているが，その現場では，こうした問題点によく出くわす。今回は，そのぜい弱性診断の経験から，ユーザーが見落としがちなぜい弱性について取り上げてみたい。 Webアプリケーションに存在するぜい弱性と聞かれたら，ITproセキュリティの読者の多くは，まず，SQLインジェクションやクロスサイト・スクリプティング（XSS）を挙

[kadoppe]

ユーザに対するメッセージの表示方法と行った、見落としがちな脆弱性についての紹介

[news_chirami]

Webアプリケーションの見落としがちなぜい弱性を紹介。メールに関しては、パスワード漏洩に繋がる可能性もある仕様では？(123)

[cubed-l]

Information Leakage

[ockeghem]

こんなの当たり前と思っていましたが、確かに出来ていないサイト多いですね