Webサービスの認可制御の不備によって起こる仕様の脆弱性と対策 - Flatt Security Blog

はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上 @0x003f です。 本稿では、Webアプリケーション上で実装される「認可制御」で気をつけなければいけない「仕様の中で起きうる脆弱性」とその対策について解説していきます。 どういったアプリケーションであれ認可制御は何らかの形で行われているでしょう。今回は認可制御について不適切な設計・実装を行うとどういった脆弱性が起こりうるのかということを解説できればと思っています。 昨今は特に機密性の高いデータを扱うWebサービスも増えており、その対策の重要性は増しています。Flatt Securityは専門家の視点でセキュリティリスクを洗い出す診断サービスを提供しておりますので、興味のある方は是非あわせて事例インタビューもご覧ください。 はじめに 想定アプリケーション セキュリティ観点と対策 観点1: 権限を持たな

[tonzurah2]

、

[takahashim]

Rails(ActiveRecord)だったらCompany.getではなくuser.companies.find_by(company_id: parameter_company_id)等、関係ないuserのcompanyを取れないようにすればチェックが漏れる事故がなくなるのでおすすめです