Webアプリの入力検証不備──4つの実例とその対策

Webアプリケーションの入力検証に不備があると、セキュリティ上の深刻な弱点になる恐れがある。しかし、こうした不備は、得てして問題が起こるまで気付かれない。本稿では、わたしがWebアプリケーションのセキュリティ評価を行った際に見つかった入力検証の不備の例を幾つか紹介しよう。 ログインIDが含まれたURL これまでで最も興味深い入力検証の問題を見つけたのは、自分のさまざまな機密情報を保存していたWebサイトだった。ある日、そのサイトを眺めていて、自分専用のログインIDがURLに含まれていることに気付いた。これはWebサイトの最も基本的な、しかし危険な欠陥の1つだ。わたしは「彼らは分かっていないに違いない」と考えた。そこでサイトの管理者に電話で連絡を取り、問題を報告した。彼女は最初は平然としていた。彼女の態度が変わったのは、彼女がそのシステムの自分専用のIDをわたしに教えた後で、わたしが彼女の住

[soma1080]

詳しくは知らないがあまり信用しないほうがいいらしい。

[kogawam]

10年ぐらい前の記事かと思った。無言でブクマしてる人はこの記事を信用しないように。

[rryu]

サニタイズ脳の次はバリデーション脳なのか……

[ockeghem]

『修正するには、想定されている入力だけを受け付け、それ以外は一切受け付けないようにアプリケーションをコーディング』<すばらしい。これは万能の対策ですね。入力が英数字のみを許容している限りですが

[cubed-l]

これ本当に最近の記事？

[rna]

色々変。/「ログインIDが含まれたURL」セッション管理してれば関係ないのでは? / 「不正なURLの受け付け」URLが不正なんじゃなくて値域無制限のパラメタをOSに直接渡すのが悪い。/XSSは入力より出力が大事。

[MinazukiBakera]

うーん……。あんまり賛同できない部分が多いですが。