Japan
サイト内の現在位置を表示しています。
InfoCage SiteShell
Webアプリケーションの脆弱性と発生する被害
Webアプリケーションの脆弱性
Webアプリケーションに含まれる脆弱性は、次の表のように整理できます。
| 脆弱性の名称 | 概要 | 予想される被害 |
|---|---|---|
| クロスサイトスクリプティング | キーワード入力欄にスクリプトを含んだタグを打ち込むことにより、制御情報(cookie)を取得されたり、読み出された制御情報(cookie)が第三者のサーバに転送されるなどの可能性があること。 | スクリプトが実行され、ウィルスがダウンロードされたり、悪意のあるサイトへの踏み台にされる。 |
| SQLインジェクション | 入力項目(パラメータ)に不正にSQL文を入力されることにより誤動作すること。 | データベース情報を参照されることによる情報漏えいが起こる。 Webサイトを書き換えられ、マルウェアのダウンロードリンクを張られる。 |
| クロスサイトリクエストフォージェリー、セッションハイジャック/リプレイ | 制御情報(cookie)のクライアント識別子が悪用されること。 | 成りすましによりセッションを盗まれ、様々な操作をを実行されてしまう。 |
| OSコマンドインジェクション | 入力項目へのOSコマンドの入力され、誤動作すること。 | OSのコマンドが実行されることで、サービス停止や不正にファイルを転送されてしまう。 |
| パストラバーサル | 指定された範囲外のファイルを読み出されること。 | 本来表示したくないシステム上のユーザファイルなどにアクセスされ、改ざんされてしまう。 |
| バッファオーバーフロー | 確保したメモリ領域(バッファ)を超えてデータが入力された場合に、データがあふれてプログラムが暴走してしまうこと。 | 管理者権限を奪われ、サイトの改ざんなどが行われる。 |
| パラメータ改ざん | 送受信するデータのパラメータを改ざんされること。 | ECサイトなどでは、商品の値段を不正に変更させられてしまう。 |
| 強制的ブラウズ | 公開されているURLから、様々なURLを推測して、参照を試みられること。 | 本来表示してはいけないバックアップファイルやテストファイルが参照されてしまい、攻撃のヒントなどを与えてしまう。 |
| エラーコード | ユーザの入力ミス等で返却されるエラーコード(SQLのエラーなど)が表示されること。 | エラー画面からデータベースのテーブル名などが表示され攻撃のヒントを与えてしまう。 |
| HTTPのメソッド | 以下のHTTPのメソッドを利用する攻撃のこと。 DELETE、SEARCH、COPY、 MOVE、PROPFIND、 PROPPATCH、MKCOL、LOCK、 UNLOCK、TRACE、PUT、HEAD、 CONNECT |
予期しないHTTPのメソッドによって不正なファイルが配置されたり、重要ファイルが窃取される。 |
| Cookieに関する脆弱性 | Cookieに格納されたデータを推測することにより、不正アクセスのための情報を盗まれてしまうこと。 | 成りすましによる不正ログインが行われ、第三者に様々な操作を実行されてしまう。 |
| 同一IPアドレスからのDoS攻撃 | 同じIPアドレスからWebアプリケーションに対して大量の攻撃を行うこと | サーバリソースを消費することによってWebサーバのダウンや予期しない動作を引き起こしてしまう。 |
| パスワードリスト攻撃 | 攻撃者が別Webサイトから不正取得したID とパスワードのリストを流用しログインを試行すること。 | 不正アクセスに悪用され、最終的には直接金銭的被害に結びつく二次的被害を引き起こしてしまう。 |
発生する被害
SQLインジェクションなどの攻撃によって、データベースに格納している貴重なデータ(顧客情報など)が漏えいする事故が多発しています。
情報漏えいが発生した場合には、次のような対策を行う必要があります。
- 24時間体制での被害状況調査
- お客様への謝罪や補償、問合わせ窓口の設置
- Webアプリケーションの改修を含むシステムの再構築
さらに、対策が完了するまでサービスを停止することになり、その間の売り上げの減少、さらには事件による信用の失墜などがあり、企業にとって計り知れないダメージがあります。
このため、事故(インシデント)が発生する前に適切な対策をとり、セキュリティ・インシデントを防ぐことが重要です。
