安全なウェブサイトの作り方 改訂第2版
2006年11月1日(水曜日)
安全なウェブサイトの作り方 改訂第2版
安全なウェブサイトの作り方 改訂第2版 (www.ipa.go.jp)が出たようで。
また、ウェブアプリケーションの脆弱性について、新たに、CSRF(Cross-Site Request Forgeries/クロスサイト・リクエスト・フォージェリ)とHTTPヘッダ・インジェクションの解説を追加しました。本資料で取り上げている内容は、ウェブサイトに関する届出件数の約9割を網羅しています。
「HTTPヘッダ・インジェクション」は聞き慣れないと言えば聞き慣れないですが、きれいにまとまっていると思います。
HTTP応答ヘッダに CR+LF がインジェクションできてしまい、それによって HTTPレスポンス分割や任意の Cookie 発行や任意のレスポンスボディ生成ができるようなケースは良くあります。これを届け出ると、「HTTPレスポンス分割」と「クロスサイトスクリプティング」の 2件として扱われていました。これは 1件の「HTTPヘッダ・インジェクション」として処理された方が分かりやすいと思いますし、今後はそうなるのでしょう。たぶん。
ちなみに、とても厳密に言うと、RFC2616 の定義では
Response = Status-Line ; Section 6.1
*(( general-header ; Section 4.5
| response-header ; Section 6.2
| entity-header ) CRLF) ; Section 7.1
CRLF
[ message-body ] ; Section 7.2
となっていて、ステータス行はヘッダとは別の扱いになっています。そう考えると、「Status: 200 OK」をインジェクションする技は「ヘッダ」インジェクションではないということになりそうな気もしますが、まあ、そこまで厳密にならなくても良いでしょう。
- 「安全なウェブサイトの作り方 改訂第2版」へのコメント (1件)
関連する話題: Web / セキュリティ / IPA / 情報セキュリティ早期警戒パートナーシップ / CSRF / RFC
