20170111 lt
- 3. OWASP TOP10
# 内容
1 SQLインジェクション
2 認証とセッション管理の不備
3 XSS(クロスサイトスクリプティング)
4 安全でないオブジェクト直接参照
5 セキュリティ設定のミス
6 機密データの露出
7 機能レベルアクセス制御の欠落
8 CSRF(クロスサイトリクエストフォージェリ)
9 既知の脆弱性を持つコンポーネントの使用
10 未検証のリダイレクトとフォーワード
- 4. 認証とセッション管理の不備
以下該当する場合に脆弱・・・
1 ハッシュや暗号化を使用して保存する際適切に保護をしていない。
→ 強度の低いハッシュ(MD5、SHA-1)を用いている、平文で秘密情報をDB保存
2 アカウント作成、パスワード変更やリセット、アカウントロック、弱いアカウント
管理機能を通じて認証情報が確認や上書きできる。
→ メアド到達確認をせずアカウントが作れる。
第三者にてアカウントロックができてしまう。
パスワード変更やリセットが権限の低い管理者で実施ができてしまう。
3 URLリライトなど、URLでのセッションID表示。
4 ログイン成功後、セッションIDは再生成されない。 セッション固定化攻撃に脆弱
→ フレームワーク次第では起こりうるので注意
5 セッションIDはタイムアウトしない。或いは、ログアウトする際、ユーザセッション、
認証トークン、特にシングルサインオン(SSO)トークンなどが無効化されない。
→ セッションタイムアウトが長すぎる
6 パスワード、セッションIDなどの認証情報は暗号化されていないコネクションで送信される。
→ autocomplete=off, Secure属性が付いていないCookieでの秘密情報運用。