利用者からの入力に対して、ウェブサーバ側で動的にHTML等のページを生成する仕組みを設けている場合に、セキュリティ上の問題となり得るもの。
あるサイトに書かれているスプリクトが別のサイトへとまたがり(クロスして)転送され、最終的には利用者のブラウザ上で実行されることから、クロスサイトスプリティングと呼ばれる。
●影響
利用者のブラウザ上で、スプリクトが実行されるため、セッションIDを含むCookieの盗難、表示ページの改ざん、フィッシングに利用、ファイルの破壊、その他悪意あるスプリクトの実行がされる恐れがある。
●対策
(開発時)
・ユーザーが入力可能な文字を厳密に定義
・ページ生成時のメタキャラクタのエスケープ処理を行うなどのスプリクト無効化処理
(運用時)
・ウェブアプリケーションファイアウォールの導入
・ウェブサーバやウェブアプリケーションベンダ情報を入手し対処(ウェブサーバなどの欠陥修正)
カテゴリー: 情報セキュリティ
SQLインジェクションとは?
利用者から入力を受け付けるウェブアプリケーションがデータベースと連携してサービスを行っている場合に、セキュリティ上の問題になりうるもの。
データベースに対する問い合わせデータの中に、意図的にSQL文を混ぜ込んでおき、データベース内部でそのSQLコマンドを不正に実行させ、情報を盗み出したりシステムに被害を及ぼしたりすること。
●影響
データベース内で、管理者が意図しないSQLコマンドを実行されてしまうため、データの不正閲覧、パスワード情報の盗難、データの改ざん、データの破壊、そのたコマンドの不正実行をされる恐れがある。
●対策
(開発時)
・ユーザが入力可能な値を厳密に定義
・不正入力値の無害化
・準備済みSQL文の使用(バインドメカニズム)
(運用時)
・エラーメッセージを出さない
・ウェブアプリケーションが持つ権限の最小限化
・ウェブアプリケーションのパスワードの秘匿
・実行可能なコマンドの制限
・アクセスログの取得および解析
・ウェブアプリケーションファイアウォールの導入
DNS情報の設定不備を突いた手口とは?
DNSサーバ運用を外部の業者等に委託したりした場合、管理の誤りなどでドメイン登録情報とサーバ設定が一致していない場合、セキュリティ上の問題となり得るもの。
期限切れのドメイン名を第三者が正規の手続きで取得し、アクセスしてきた利用者を偽サイトに誘導したりすること。
●影響
ドメインの乗っ取り(ドメインハイジャック)、偽サイトへの誘導、メールの盗み見、利用者個人情報の詐取(フィッシング)、利用者PCへの悪質なソフトウェアのインストールがされる恐れがある。
●対策
ドメイン名が安全に運用されているか確認する。DNSサーバの登録情報を確認する。DNSサーバ管理を他社に委託している場合、業者が正しくDNSサーバを運用しているか確認する。