会員数が少ないログイン後の会員エリアならば、Webアプリケーション脆弱性対策は過敏にならずとも良いのではと考えたのですが、妥当な考えでしょうか?
会員サイトを制作しようとしておりますが、内製にするか外部プラットフォームを使うか?で思案しております。
プログラミングできる人間はたくさんいるので内製力はあるのですが(私はプログラミングはできません)、ただ、Webプログラミングでないプログラマーばかりなので、Webの方は不慣れです。
よって、Webアプリケーションの脆弱性対策の知識がまるで無い状況です。
XSS(クロスサイト・スクリプティング)
CSRF(クロスサイトリクエストフォージェリ)
SQLインジェクション
OSコマンドインジェクション
HTTP ヘッダ・インジェクション
パス名パラメータの未チェック/ディレクトリ・トラバーサル
バッファーオーバーフロー
など、色々ありますよね。
このあたりのことを考えると、内製はやめて外部プラットフォームを利用するしかないのか、と思っていました。問題が起こっては大変なので。
Webアプリの脆弱性対策は日々新たな脆弱性が出てくるたびに対策を追加していかなければならないので大変そうで・・・・・
そういう中で気づいたのですが、Webアプリケーションの脆弱性を突く色んな方法がありますが、よくよく考えますと、会員エリアは会員しか入らないのだから、そんなに過敏に考えなくとも大丈夫なのではないか、と思い直したのです。
何せ会員数が少ないのです。
当初は10~30名程度、100名になるのもだいぶ時間がかかる感じですので。
会員しかもらえないログインID・パスワードでログインしたあとの会員エリアですから、ここの中の各入力フォームに悪いコードを入れる輩は会員か会員がID・パスワードを教えた第三者しかないわけで、本件のように会員数が極端に少ない場合なので、すぐ面が割れると感じる会員が悪いことをしづらいだろうと思ったのです。
質問ですが、
質問[1] 会員ログインページは非会員でも開けるので、このID・パスワードのinput textに対するWebアプリ脆弱性処置ができないことになる。
ここは会員だけ開くページでないため危険にさらされるわけだから、処置ができないと結局意味が無いでしょうか?
質問[2] ログイン後の会員エリアであっても、知識のあるクラッカー(悪いハッカー)からすればURLを知ることはお手の物であり、会員しか入れないエリアの入力フォームのWebアプリ脆弱性対策ができていないと、いくらログイン後のページであっても関係なくどんどん突かれてしまうのでしょうか?
以上です。
有識者の方の的確なお話を頂戴できればとてもありがたいです。
何卒宜しくお願いいたします。
No.2ベストアンサー
- 回答日時:
>質問[1] 会員ログインページは非会員でも開けるので、このID・パスワードのinput textに対するWebアプリ脆弱性処置ができないことになる。
>ここは会員だけ開くページでないため危険にさらされるわけだから、処置ができないと結局意味が無いでしょうか?
ログインページへの攻撃は「会員ページへの直接的な侵入」だけとは限りません。
ホストOSの種類やバージョンや設定状態、またブラウザの設定にもよりますが、
全く脆弱性対策がされていないサイトの場合、ログインページを攻撃して
「正しいログインページによく似た偽物で実際はユーザ入力を別サイトに転送するページ」
を表示させるようにして、ユーザーが入力したIDとパスワードを盗み出すということは
それほど困難ではありません。
ですから、最低限、ログインページは攻撃への対処が必要だ、と思います。
>質問[2] ログイン後の会員エリアであっても、知識のあるクラッカー(悪いハッカー)からすればURLを知ることはお手の物であり、
>会員しか入れないエリアの入力フォームのWebアプリ脆弱性対策ができていないと、
>いくらログイン後のページであっても関係なくどんどん突かれてしまうのでしょうか?
「会員しか入れない」というのが、「URLを会員しか知らない(表示されない)ハズ」で、実際にURLを
入力すれば表示できてしまうというような仕組みでしたら、ログイン後のページであっても比較的容易に
攻撃対象にできます。
また、まったく脆弱性対策されていないサイトの場合、入力エリアに正規会員が誤ってなにか入力した際、
結果として脆弱性が表面化してしまう場合もありますので、対策されることを強くお勧めします。
全体として、
セキュリティに関しては「これだけ対策すれば絶対安心」ということがないだけに、
「相手に、セキュリティを破るためにどれだけの手間とコストをかけさせるか」を考えることになります。
またそれは、自サイトのコンテンツにはどれくらいの価値があるのか、ということに影響されます。
会員向けのコンテンツとして、他人に見られると損失を被るような情報が含まれているのであれば、
脆弱性に対する処置がとられていないというのは万一の場合は責任を追及される恐れがあるかもしれません。
自サイトのコンテンツにあまり価値がないとご自身で評価なさっても、
脆弱性対策されていないサイトは、他サイトへの攻撃の足がかりにされることもありますので、
Web全体のことを考えればぜひ対策をしていただきたいところですが…。
コストや手間をかけて対策しても、まったくクラック対象にならないサイトもあって、
そのときは結果的に経済面で無駄ではあります。
ただ、クラックする対象になるかならないかは誰にもわかりませんから、
法人としてインターネットで会員サービスを行うサイトであれば、社会的な責任として、
セキュリティ対策はしておく必要があると思います。
HTMLやアプリケーションレベルでの脆弱性対策が困難な場合は、別の手段で対策する手もあります。
IPSecやPPTPなどの、比較的手軽なインターネットVPNを導入するというのもその一つです。
(会員のITリテラシーにもよりますが…)
この回答への補足
【お礼欄の続き】
------------------------------------------------------------
会員向けのコンテンツとして、他人に見られると損失を被るような情報が含まれているのであれば、
脆弱性に対する処置がとられていないというのは万一の場合は責任を追及される恐れがあるかもしれません。
------------------------------------------------------------
これこれ、これなんです、一番気になる点は。社員40~50名の小さな会社ですから標的になる可能性は低いとは思うのですが、万一が気になる事件が聞こえてきますよね。
------------------------------------------------------------
------------------------------------------------------------
自サイトのコンテンツにあまり価値がないとご自身で評価なさっても、
脆弱性対策されていないサイトは、他サイトへの攻撃の足がかりにされることもありますので、
Web全体のことを考えればぜひ対策をしていただきたいところですが…。
------------------------------------------------------------
なるほど、「他サイトへの攻撃の足がかりにされる」ということは知りませんでした。
------------------------------------------------------------
コストや手間をかけて対策しても、まったくクラック対象にならないサイトもあって、
そのときは結果的に経済面で無駄ではあります。
ただ、クラックする対象になるかならないかは誰にもわかりませんから、
法人としてインターネットで会員サービスを行うサイトであれば、社会的な責任として、
セキュリティ対策はしておく必要があると思います。
------------------------------------------------------------
ですです。まさにその思いです。
------------------------------------------------------------
HTMLやアプリケーションレベルでの脆弱性対策が困難な場合は、別の手段で対策する手もあります。
IPSecやPPTPなどの、比較的手軽なインターネットVPNを導入するというのもその一つです。
(会員のITリテラシーにもよりますが…)
------------------------------------------------------------
パケティックのようなネットVPNも良いでしょうが、会員の環境が絡むので無理があるかと思います・・・
正直言って、脆弱性対策をよくしていない企業サイトの方が圧倒的に多い状況である程度の低い現状だと思います。特に中小企業のサイトはボロボロですから。
ざっとした対策ならば調べてできると思います。エスケープしたり何だりと。
だけれどもどうせ対策するのならば、完璧だとは言わなくとも今明るみに出ている対策は全てやってこそだと思うのです。
IPAに紹介されてあるものでこのレベルあって、なおかつ方法の紹介もプログラマーならば誰でもわかるレベルの教え方をしてあるのであれば良いのですが、このあたりもどうなのかなぁ。IPAに聞いてみますかね。
大変助かっております。ありがとうございます。
------------------------------------------------------------
ログインページへの攻撃は「会員ページへの直接的な侵入」だけとは限りません。
ホストOSの種類やバージョンや設定状態、またブラウザの設定にもよりますが、
全く脆弱性対策がされていないサイトの場合、ログインページを攻撃して
「正しいログインページによく似た偽物で実際はユーザ入力を別サイトに転送するページ」
を表示させるようにして、ユーザーが入力したIDとパスワードを盗み出すということは
それほど困難ではありません。
ですから、最低限、ログインページは攻撃への対処が必要だ、と思います。
------------------------------------------------------------
なるほど、ログインページをFTPで入られて加工されてしまう、ということですか。
加工されたら、裏側のHTMLソースの中のformタグのaction先をクラッカーの管理するURLへ
書き換えられてしまいますから、会員がID・パスワードを入力すればその情報が
クラッカーのサーバへストックされるわけですね。
------------------------------------------------------------
全体として、
セキュリティに関しては「これだけ対策すれば絶対安心」ということがないだけに、
「相手に、セキュリティを破るためにどれだけの手間とコストをかけさせるか」を考えることになります。
------------------------------------------------------------
まさに。手間・コストが大きいとクラッカーとしてはそこまでして手に入れる価値があるか?ということを自答しますよね。競合からしたら価値があるかも知れないくらいだと思いますが。
------------------------------------------------------------
またそれは、自サイトのコンテンツにはどれくらいの価値があるのか、ということに影響されます。
------------------------------------------------------------
そうですよね。会員にとっては価値があるとは思うのですが。
【文字数制限につき続きは補足欄へ】
No.1
- 回答日時:
要は管理者権限を奪われたら終わりなわけです。
したがって、会員ページを含め全ての公開リソースについてセキュリティが必要でしょう。
依然どこか省庁のHPが改ざんされるなどの事件がありましたが、
あれなんかは管理ページが公開されていないに関らず事件も起こりましたし。
なるほど。
ということは、管理者権限を奪われない前提ならば書いていることは間違っていないということですか。
しかしその前提も、管理者権限を奪われる危険性自体が前提の前に厳然として存在するので、私の書いた前提は崩れてしまう、ということでしょうか。
しかし管理者のログインID、パスワードのような最重要なデータをどうやって盗むんでしょうかね・・・そんなことがどうやってできるのか驚くばかりです。
データセンターで高いセキュリティ対策をしたデータベースサーバであっても入ってこれるということなんでしょうかね・・・・うぅ~む・・・・・
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
関連するカテゴリからQ&Aを探す
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・街中で見かけて「グッときた人」の思い出
- ・「一気に最後まで読んだ」本、教えて下さい!
- ・幼稚園時代「何組」でしたか?
- ・激凹みから立ち直る方法
- ・1つだけ過去を変えられるとしたら?
- ・【あるあるbot連動企画】あるあるbotに投稿したけど採用されなかったあるある募集
- ・【あるあるbot連動企画】フォロワー20万人のアカウントであなたのあるあるを披露してみませんか?
- ・映画のエンドロール観る派?観ない派?
- ・海外旅行から帰ってきたら、まず何を食べる?
- ・誕生日にもらった意外なもの
- ・天使と悪魔選手権
- ・ちょっと先の未来クイズ第2問
- ・【大喜利】【投稿~9/7】 ロボットの住む世界で流行ってる罰ゲームとは?
- ・推しミネラルウォーターはありますか?
- ・都道府県穴埋めゲーム
- ・この人頭いいなと思ったエピソード
- ・準・究極の選択
- ・ゆるやかでぃべーと タイムマシンを破壊すべきか。
- ・歩いた自慢大会
- ・許せない心理テスト
- ・字面がカッコいい英単語
- ・これ何て呼びますか Part2
- ・人生で一番思い出に残ってる靴
- ・ゆるやかでぃべーと すべての高校生はアルバイトをするべきだ。
- ・初めて自分の家と他人の家が違う、と意識した時
- ・単二電池
- ・チョコミントアイス
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
青い枠のみのHTML
-
INPUTにnameがない場合のsubmit
-
Javascriptで、クリック時の機...
-
えきねっとのログイン画面はどこ?
-
【php】会員登録ログイン時シス...
-
phpmyadminでDBが作成できない。
-
ASPで画面間のパラメタ受け渡し
-
画面遷移が不正ですと表示されます
-
VBAで一時中断したプログラムの...
-
コネクション・セッション・ト...
-
PageLoadの後にJavascript実行...
-
VBAで特定のテキストボックスを...
-
下記メールAddressの意味と数字...
-
同じソリューション内の別のプ...
-
【VB6】 変数1 = 変数1 Or $H2
-
WEBページ上に[Ctrl]+[F5]を割...
-
Googleカスタムエンジンの窓部...
-
チェックされたチェックボック...
-
ドリームウェーバーの質問です
-
複数選択のListBoxでClickイベ...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
VBAでHTTPログイン
-
PHPからWindowsログインユーザ...
-
ログインフラグがわかりません。
-
特定の端末からのみWebシステム...
-
勝手にログアウトされてしまい...
-
ASP.NETで作成されたログインペ...
-
PWを入れると別のページに飛ん...
-
セッション管理について(同時...
-
ASP.NET MVC 最初からあるログ...
-
バッチファイルでログイン後の...
-
特定の人のみアクセス可
-
フォーム認証でのパスワードロック
-
phpMyAdminのログイン画面でク...
-
VBSでIEのログイン画面でのアカ...
-
ページが参照された時にログイ...
-
青い枠のみのHTML
-
ログイン履歴
-
PHPでログイン機能実装
-
Windowsでログインする時に入力...
-
phpmyadminでDBが作成できない。
おすすめ情報