2017/03/21

Web サイトのセキュリティの不備がバグレポートで明らかに – デイリーセキュリティバイト

オフィス 休憩 ミーティング 立ち話
2017 年 3 月 21 日 Corey Nachreiner 著

私自身も、Web アプリケーションの極めて初歩的な脆弱性を紹介するデモを実施する機会は多く、たとえば、Web のログインインタフェースの初歩的な設計ミスに起因する SQL インジェクションを紹介したりします。今回、この例を取り上げることにしたのは、セキュリティの意識や技術的な知識がなくても、比較的簡単に理解できるデモ内容だからです。Web アプリケーションと SQL インジェクションはどちらも大きな進化を遂げたため、最新の Web サイトの多くに、私がデモで紹介しているような初歩的なコーディングミスがあるとは思いませんでした。ところが昨日、この考えが間違いであることがわかりました。

Mozilla に最近、ある Web サイトの管理者から、Firefox の「安全でないサイトの通知」に関する苦情が寄せられました。その苦情は、そのサイトの作成者がログインページで HTTPS ではなく HTTP を使用することの意味を理解しておらず、セキュリティの知識が不十分であることを示すものでした。Reddit のユーザがこの苦情に気付いて問題の Web サイトの調査を始めたところ、そのサイトの安全性が予想よりもさらに低いことがわかりました。おそらく、そのような初歩的な脆弱性が未だに存在したという事実を疑う人も多いはずです。今日のビデオでは、この Web サイトのセキュリティの不備の詳細をご紹介しています。また、Web 開発者の方は、以下にご紹介した OWASP の記事で、同じミスを犯さないようにする方法をご確認ください。

(エピソードビデオの長さ: 5:33 )

YouTube へのダイレクトリンク:https://www.youtube.com/watch?v=FRml8n9cezY

エピソードの参照情報

Corey Nachreiner, CISSP@SecAdept