水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 安全なウェブサイトの作り方 改訂第2版

安全なウェブサイトの作り方 改訂第2版

2006年11月1日(水曜日)

安全なウェブサイトの作り方 改訂第2版

安全なウェブサイトの作り方 改訂第2版 (www.ipa.go.jp)が出たようで。

また、ウェブアプリケーションの脆弱性について、新たに、CSRF(Cross-Site Request Forgeries/クロスサイト・リクエスト・フォージェリ)とHTTPヘッダ・インジェクションの解説を追加しました。本資料で取り上げている内容は、ウェブサイトに関する届出件数の約9割を網羅しています。

「HTTPヘッダ・インジェクション」は聞き慣れないと言えば聞き慣れないですが、きれいにまとまっていると思います。

HTTP応答ヘッダに CR+LF がインジェクションできてしまい、それによって HTTPレスポンス分割や任意の Cookie 発行や任意のレスポンスボディ生成ができるようなケースは良くあります。これを届け出ると、「HTTPレスポンス分割」と「クロスサイトスクリプティング」の 2件として扱われていました。これは 1件の「HTTPヘッダ・インジェクション」として処理された方が分かりやすいと思いますし、今後はそうなるのでしょう。たぶん。

ちなみに、とても厳密に言うと、RFC2616 の定義では

Response = Status-Line ; Section 6.1

*(( general-header ; Section 4.5

| response-header ; Section 6.2

| entity-header ) CRLF) ; Section 7.1

CRLF

[ message-body ] ; Section 7.2

となっていて、ステータス行はヘッダとは別の扱いになっています。そう考えると、「Status: 200 OK」をインジェクションする技は「ヘッダ」インジェクションではないということになりそうな気もしますが、まあ、そこまで厳密にならなくても良いでしょう。

関連する話題: Web / セキュリティ / IPA / 情報セキュリティ早期警戒パートナーシップ / CSRF / RFC

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト