Web関連

Webアプリに対する攻撃手法とその対策

0

こんにちは。
昨今、WEBセキュリティ関連の問題が浮上してきていますよね。
そこで今回は、Webアプリに対する攻撃手法と対策を紹介したいと思います。

まず始めに、Webアプリケーションとは、インターネットなどネットワークを介して使用するアプリケーションソフトウェアです。
銀行のインターネットバンキングやネット販売のショッピングカートなどで使用されています。
※Wikipedia参照

 

Webアプリケーションに対する代表的な攻撃手法

基本、Webサーバへのセキュリティ対策となると、ファイアウォールやウイルス対策が主流になります。
しかし、Webアプリケーションへの攻撃対策としては不十分なのです。
脆弱性について知ることで、設計や実装段階で対処すように意識できますので、是非Web担当者の方は知っておきましょう。

クロスサイトスクリプティング(XSS)

HTMLの文字列の中に、悪意のあるJSやタグを入れられるバグを利用し実行されてしまう攻撃です。
この脆弱性があると、ユーザーのCookie情報が漏洩し、セッションの乗っ取りやページ書き換え、強制的に遷移することが可能となります。
なので、フィッシング詐欺やなりすましの犯罪に利用される傾向があります。

対策としては、入力データチェック、出力エンコーディング形式の指定が有効です。

インジェクションの欠陥

SQLを操作するプログラムにSQL文の断片を渡すことで、データベースの改ざんやデータベースの情報入手が可能になる攻撃です。
この脆弱性によって、OSコマンドを悪用しシステムの乗っ取りが可能になります。

対策としては、入力データチェック、データベースを最小特権で利用することが有効です。

パラメータの改ざん

アプリケーションがURLパラメータやhidden、Cookieなどに入れた値を書き換えてサーバに送り返すことで価格改ざんや他人へのなりすましが可能な攻撃です。

対策としては、データはサーバ側の値を使用し、セッションIDによる状態遷移を行うことが有効です。

強制的ブラウズ

バックアップのファイルや隠れたファイルを予測し、直接アクセスする攻撃です。
リンクやボタンの遷移によらず特定のページに直接アクセスし、個人情報の漏洩や、サーバ攻撃の足掛かりとして利用されます。

対策としては、アクセスされて困るものはWebサーバに置かないことです。
データの保存場所が原因のセキュリティに対しても有効な対策になります。

エラーコード

不正な入力を行うことによりアプリケーションを誤動作させエラーメッセージを表示させる攻撃です。
エラーメッセージにはさまざまな種類がありますが、一番多いのはデータベースが返すSQL関係のエラーメッセージです。

対策としては、入力チェックとサニタイジングを行うことです。

セッション管理に関する脆弱性

セッション系の脆弱性には、「Session Hijack」「Session Replay」「Session Fixation」があります。この3つの脆弱性は基本的にセッション管理の不備が原因で発生します。
セッション管理に脆弱性があると個人情報が漏えいする可能性があります。

対策としては、セッションIDを長い文字列にしたり、セッションIDに有効期間を付けるなどがあります。

HTTPレスポンス分割

外部からの入力データを使用して動的にHTTPヘッダーを出力するWebアプリケーションの脆弱性を利用し、攻撃者の意のままにできる偽のページをユーザーに取得させる攻撃です。

対策としては、レスポンスヘッダの入力の改行文字をチェックしたりすることが有効的です。

Adobe Flash Playerの脆弱性

以前見つかった脆弱性です。
アドビシステムズ社のAdobe Flash Playerに、Webを閲覧することでDoS攻撃や任意のコードを実行される可能性がある脆弱性が見つかりました。
悪用された場合、アプリケーションプログラムの異常終了や、第三者によってパソコンが制御されたりと、様々な被害が発生する可能性があります。

対応策としては、7/14に修正プログラムを公表しましたので、修正プログラムの適用することです。

上記の脆弱性が見つかり、Mozillaは、AdobeのFlash Playerプラグインをブロックすると発表するなど大きなニュースとなった脆弱性です。

まとめ

今回ご紹介した攻撃手法はごく一部に過ぎません。
また、現在もWebアプリケーションの脆弱性を突く攻撃手法が増加しています。
少しでも攻撃手法を理解し、アプリケーションを開発する時は、セキュリティを意識し未然に防ぐ対策を常に心掛けなければなりません。
大規模、小規模に限らず、今一度セキュリティ対策について見直してみてはいかがでしょうか。

ホームページ制作でお困りの方はホームページ制作会社ティファナにご相談ください!

お問い合わせはこちらから

関連するサービス

“ホームページ制作”:https://www.tifana.com/service/production/homepage.html
“セキュリティ対策”:http://www.tifana.com/service/security.html

0

Web制作会社がアパレル業界のSNS戦略について調査してみた前のページ

【人工知能・AI×ログ解析】ログ解析が苦手な人に朗報!?次のページ

ピックアップ記事

  1. 新型コロナウイルスで日本の働き方改革が起こる
  2. 新しい販売形態であるDtoCについて考えてみる
  3. 大手企業も注目するMaaS(Mobility as a Service)とは何か…
  4. AIに求められているものは、実は意外な物だった

関連記事

  1. Web関連

    本当に無料?お手軽ECサイト構築ツールの注意点

    こんにちは、すっかり暖かくなったからか、花粉症に苦しめられている山谷で…

  2. Web関連

    効率的なミーティングの為に、心掛ける8つのポイント

    最近ISOの取得・更新に向けて社内で準備が着々と進んでいます。…

  3. Web関連

    楽にできる?!レスポンシブWEBデザイン

    皆さんもスマホ対応しなければと思い、ホームページをリニューアルされ…

  4. Web関連

    宅配に不可能はない?こんなものまで届けてくれるWebサービス

    最近Amazonが始めた、色んな意味で話題になっているサービスをご存知…

  5. Web関連

    お値段以上?シェアリングエコノミー

    ここ最近、やたらと耳にするような気がするんですが...知ってますか?…

  6. Web関連

    デジタルビジネス、ちゃんと説明できますか?

    「デジタルビジネス」という言葉を最近よく聞きませんか?今後のビジネスの…

おすすめ記事

  1. 2021.01.7

    約1年間のウィズコロナ生活で大きく変わったもの

    2020年4月。新型コロナウイルスの感染拡大を受けて緊急事態宣言が発令され、…

  2. 2021.01.5

    スマートストアにより、小売業は激変する

    皆さんは、買い物をする時に「他に購入するものはあったかな?」と悩んだことはありま…

  3. 2020.12.21

    【化粧品業界×最新技術】AIが化粧品のアドバイザー…

    すっかりマスクを着けることに違和感が無くなった今日この頃。緊急事態宣言が出さ…

  4. 2020.12.17

    AI技術の普及により移動も安全に

    皆さんは最近外に出かけていますか?新型コロナウイルスの感染拡大により、移動の…

  5. 2020.12.7

    【テレワーク×AI】今後も続くであろうテレワークと…

    「テレワーク」「リモートワーク」「在宅勤務」、ここ数ヶ月の内に一気に聞き馴染みの…

最近の記事

  1. 人間拡張×AIで非接触なデジタル化を推進する
  2. ヘルスケアはAI先生にみてもらう時代
  3. withコロナは非接触技術で生活しよう!
  4. デジタル接客+AIで非接触を推進する
  5. 遠隔診療や遠隔医療普及のポイントはAIと5G

アーカイブ

  1. Web関連

    マーケティング大成功!人気アニメ作品はなぜ「人気」となったのか?

  2. Web関連

    こんなのアリなの!?世界で話題のプロモーション!

  3. Web関連

    今話題のマーケティングオートメーション(MA)を考えてみた!

  4. SEO関連

    無意味なSEOはもう要らない!Web制作のプロがこっそり教えるSEO対策

  5. Web関連

    デザイナー志望必見!インフォグラフィック履歴書で就活を有利に!
PAGE TOP