Webアプリケーションのセキュリティ

Top > Web Application

---

---

注意

Webアプリケーションの脆弱性を解説するため、本サイトには攻撃手法に関する情報が含まれています。本サイトにて解説している攻撃手法を、他者が管理または運営しているWebアプリケーションやWebサーバーに対して実行すると、刑事罰および損害賠償請求の対象となる場合があります。脆弱性の調査・検証は、必ずご自身の管理下のコンピュータシステムに対してのみ実施してください。
本サイトの記事を参考にした行為により問題が生じても、当サイトは一切責任を負いません。

---

---

おすすめサイト

• 初心者Webアプリケーション開発者がチェックすべき情報源2014 - ハニーポッターの部屋
• 初心者Webアプリケーション開発者がチェックすべき情報源2013

チェックポイント

• OS、Webサーバ、Webアプリケーションフレームワーク
• 入出力
• ユーザー認証
• セッション管理
• メール
• Webブラウザ

OS、Webアプリケーションフレームワーク

• 設定（インストール時）
• 運用（開発時、実運用開始時）

入出力

• クロスサイトスクリプティング（CSS,XSS）
• SQLインジェクション
• OSコマンドインジェクション

ユーザー認証

総当り攻撃(brute force attack)耐性

• 同一ユーザIDに対する連続ログイン試行に失敗した場合、アカウントをロックすること。
  • アカウントロックの解除は、サイト管理者へのメールや電話での連絡を必須とするのが望ましいですが、シーケンシャルな文字列で構成されているといった理由で他人のユーザIDを容易に推測可能な場合、無差別に他人のユーザIDに対してログインを試みてアカウントをロックさせるといった、サイト運用妨害行為を助長する恐れがあります。
    アカウントロック後、一定時間*1ログイン試行が行われなかった場合に自動解除する方式を採用することで、悪意のあるツールによるブルートフォース攻撃でアカウント情報を奪われる危険性を軽減しつつ、ユーザビリティを考慮したサイト運用が可能となります。
    ただし、オンラインバンキングシステムやeコマースサイトといった、預貯金口座情報やクレジットカード情報を含む個人情報を取り扱うサイトでは自動解除方式を採用すべきではありません。
• What’s My Pass? » The Top 500 Worst Passwords of All Time
  • よく使われる危険なパスワードトップ500 - GIGAZINE
    日本のサイトの話ではないのですが、よく使われるパスワードワースト500だそうです。
    公開をきっかけとして、ワースト500に含まれるパスワードを優先的に試行するブルートフォース攻撃が流行するかもしれません。
    気休めにしか過ぎないかもしれませんが、上記サイトで紹介されている500個の脆弱なパスワードは登録できないようにしたほうが良いでしょう。

リバースブルートフォース攻撃耐性

• パスワードを固定してユーザIDを次々と変更してのログイン試行を防止する。

ユーザID

• 推奨：ユーザIDをシーケンシャルに生成しない。
  • ユーザIDが連番になっていると、別ユーザのユーザIDを容易に推測可能なので、たとえばリバースブルートフォース攻撃によりアカウントを奪われる可能性が高まります。
• 参考：英大文字、英小文字、数字、記号のうち3種類以上を混在させることを強制する。
  • システムが自動発行する場合はもちろん、任意のユーザIDを登録可能な場合でもこの仕様を適用するのが望ましいです。
• 参考：メールアドレスをそのままユーザIDとして使用しない。
  • このような仕様のサイトは多いですが、セキュリティ上推奨できません。

パスワード

パスワード | セキュリティゆいがどくそんにて情報随時更新中……

• 第1回 もう覚えるのやめませんか？　安心なパスワード管理の方法について聞いてみた(1/3) | 日立ソリューションズの情報セキュリティブログ
• セキュリティのトビラ (13) だれでも今すぐにできるパスワード管理術 | マイナビニュース
• セキュリティ・ダークナイト（17）：See new world――振り返るとセキュリティ・ダークナイトはいるよ（前編） (1/3) - ＠IT
  • ソフトバンク・テクノロジー株式会社の辻伸弘氏による連載です。

• いまさら聞けないパスワードの取り扱い方
  • OWASP Japan 7th Chapter MeetingにおけるHASHコンサルティング株式会社の徳丸浩氏によるプレゼンテーション資料です。

• パスワードの定期的変更について徳丸さんに聞いてみた(1) | 徳丸浩の日記
  • 大規模な個人情報漏洩事件のたびに話題になる「パスワードの定期変更」について記事です。

• あなたのパスワード、バレてます
  • 自身が管理している様々なアカウントがハックされた方による、パスワードについての考察記事です。

• 必須：パスワードを平文で保存しない。
  • 言わずもがなですが。データベースへ保存する場合は必ずハッシュ化すること。万が一、SQLインジェクション脆弱性を突かれてユーザ情報が奪われた場合、パスワードまで流出すると被害が劇的に拡大します。セキュリティに強い関心のあるユーザでなければ、同じパスワードを複数のサイトで使いまわしている可能性が高いためです。
• 必須：英大文字、英小文字、数字、記号のうち3種類以上を混在させることを強制する。
  • ユーザが任意に決める場合以外に、システムが自動発行する仮パスワードにもこの仕様の適用が必要です。
• 必須：8桁以上の桁数を強制する。
  • 4桁のパスワードは論外です。長さが4桁で文字種が3種類以下なら、数分以内に破られてしまいます。
• 必須：ユーザIDと同一、もしくは一部にユーザIDが含まれるパスワードを禁止する。
  • ユーザIDが含まれているパスワードはパスワードの意味がありません。
• 必須：メールアドレスやメールアカウントと同一、もしくは一部を含むパスワードを禁止する。
  • ここでのメールアカウントとは、メールアドレスがsample@example.comの場合、”@”より前の部分のsampleのことです。

ユーザ管理

• 一般ユーザ、管理者権限制御

1. FORM認証
2. Basic認証
3. Digest認証
4. HTTP Authorization

セッション管理

HTTPによる通信はステートレス（状態を持たない）です。
「ログイン中」や「登録情報更新中」といった状態をWebアプリケーションが認識するためには別の仕組みが必要です。
最も広く使われていると思われる仕組みがセッションID*2によるセッション管理です。
セッションIDの受け渡しには以下のような方式を用います。

1. HTTP Cookieによる送受信
2. フォームのhiddenフィールド
3. URLリライティング（URLにセッションIDを付加）

セッション管理に関連する主な攻撃手法や脆弱性

• セッション乗っ取り (Session Hijacking／Replay)
• セッション固定化 (Session Fixation)
• クロスサイトリクエストフォージェリ(Cross Site Request Forgeries）

参考サイト

• これだけは知っておきたいセッション変数の基礎 － ＠IT
• 6. Webアプリケーションのセキュア化における留意点→6.4.1 セッション管理
• PHPで安全なセッション管理を実現する方法 - いしなお! (2006-08-25)

Cookie

Cookieの取り扱いで注意すべき点 Cookie(クッキー)の届く範囲 (あいまいモード)

domain

• CookieのDomain属性は *指定しない* が一番安全 | 徳丸浩の日記

有効期限

• 理想は「セッション限り」＝有効期限設定なしですが、ユーザビリティに配慮して有効期限を設定する場合があるかと思います。
  この場合、有効期限を必要以上に長く設定しないでください。
• Cookieの削除と有効期限
  • PHPのsetcookie関数で空文字列を設定しようとするとクッキーが削除される | 徳丸浩の日記

secure属性

httponly属性

• httponlyは普及するのか - T.Teradaの日記
• Cookie - httponly　覚え書き - まじめにゆいがどくそん
   

メール

ユーザのメールアドレス管理

スパム踏み台化防止

Webブラウザ

• Web Application Security depending on Browser
  • ブラウザの仕様や動作に起因する脆弱性についての解説です。

脆弱性・攻撃手法

下記の一覧は、＠IT：Webアプリケーションに潜むセキュリティホール（1）:より引用したものに加筆しています。

• Brute Force Attack
  • ブルートフォース攻撃
• Buffer Overflow
  • バッファオーバーフロー
• Cross Site Scripting
  • クロスサイトスクリプティング
• Cross Site Request Forgeries
  • クロスサイトリクエストフォージェリ
• Directory Listing
  • ディレクトリリスティング
• Parameter Manipulation
  • パラメータ改ざん
    ウェブアプリケーションに送信する値を改ざんする攻撃です。
• Session Hijacking／Replay
  • 正規ユーザが取得したセッションIDを攻撃者が入手して使用する攻撃です。
• Session Fixation
  • 攻撃者が取得・想定した任意のセッションIDを、正規ユーザに使用させる攻撃です。
• Path Traversal
  • パスの乗り越え
    Directory Travarsal（ディレクトリ・トラバーサル）とも。
• SQL Injection (Blind SQL Injection)
  • SQLの挿入
• OS Command Injection
  • OSコマンドの挿入
• Client Side Comment
  • クライアント側コメント
• HTTP Response Splitting
  • HTTP レスポンス分割
• Cross Site Tracing
  • クロスサイトトレーシング
• Cookie Monster
  • クッキーモンスター

診断手法

OWASP

• Category:OWASP Testing Project - OWASP
  OWASP Testing Guide v3 Table of Contents - OWASP
  • 2008年12月20日現在の最新版はOWASP Testing Guide V 3.0です。

参考

Webアプリケーション

• セキュリティガイドライン
• ＠IT：Webアプリケーションに潜むセキュリティホール（1）
• Webサーバへの攻撃を見抜く － ＠IT
   

PHP

• PHP と Web アプリケーションのセキュリティについてのメモ
   

セキュア開発用ツール

• セキュアネットワーク通信コンポーネント集[Secure iNetSuite]